Facebook impose sa Timeline

La nouvelle version de Facebook, avec sa Timeline, est séduisante. Mais elle ouvre encore plus les vannes en matière de données personnelles. Une vraie mine d’or pour l’industrie cybercriminelle.

Il est temps que les Facebookiens prennent leur avenir en main ! Surtout au moment où le site relooké de Marc Zuckerberg lance la Timeline. Annoncée depuis quatre mois, cette nouvelle interface, baptisée le Journal en français, permet de retracer, le long d’une ligne du temps, son passé sur le réseau social. Les utilisateurs peuvent ainsi mettre en valeur tout ce qu’ils ont publié sur Facebook depuis leur inscription. On peut remonter dans le passé de ses amis, parfois jusqu’à leur naissance.

Le nouveau profil n’est plus une fiche signalétique des activités et des goûts de chaque inscrit, mais un concentré chronologique de sa vie numérique, présente et passée. « Un véritable espace d’expression, plus visuel, plus personnalisé, plus proche d’une biographie ou d’un blog », expliquait Zuckerberg lors de sa présentation. Sympa et ludique, la Timeline. Une vraie caresse narcissique aussi. Et… une aubaine pour les pirates.

Avec ses 800 millions de membres actifs, dont 4 millions en Belgique, Facebook est devenu la plus grande communauté du Web et, donc, la cible privilégiée des arnaqueurs numériques et des créateurs de malwares, ces logiciels malveillants qui pourrissent la vie des internautes. Les experts prédisent que, cette année, le nombre de malwares va continuer à augmenter de façon endémique. Il atteindra probablement 90 millions d’échantillons recensés, soit 17 millions de plus qu’en 2011. Les réseaux sociaux, Facebook en tête, seront particulièrement en ligne de mire.

Dossier social complet mis en ligne

Certes, le site, qui vise le milliard d’utilisateurs d’ici à l’été prochain, a sensiblement amélioré la protection des échanges entre « amis ». Il a également réduit le temps de réponse entre l’apparition d’une nouvelle menace et son éradication. Sur le nouveau profil, les anciennes publications reprises dans la Timeline le sont sans qu’en soient changés les critères de confidentialité. Encore heureux…

Cela n’empêchera pas les cybercriminels, qui ont toujours une longueur d’avance, de faire de nombreuses nouvelles victimes en 2012. « La version 8 de Facebook ouvre considérablement les vannes en matière de données personnelles. Avec la Timeline, c’est un dossier social complet qui est mis en ligne », constate Samia Ihammouinne, de la société Bitdefender. Ce fournisseur de solutions de sécurité Internet a récemment publié un livre blanc sur les arnaques les plus connues circulant sur Facebook.

En réalité, les informations personnelles reprises dans le Journal existent déjà sur Facebook, mais elles ne sont pas accessibles aussi facilement. Or, on ne le répétera jamais assez, les cybercriminels sont à l’affût de détails personnels sur les sites sociaux afin d’élaborer des attaques plus ciblées, plus subtiles, plus crédibles. « La Timeline va leur mâcher le travail, d’autant que Facebook encourage les gens à combler les vides dans l’histoire de leur vie », prévenait Chet Wisniewski, chercheur en sécurité chez Sophos, dans Le Monde informatique. D’autant aussi que Facebook introduit la fonctionnalité d’abonnement qui permet de suivre, un peu comme sur Twitter, les mises à jour publiques de personnes sans en être l' »ami ».

Scams et like-jacking en recrudescence

Les données personnelles permettent, entre autres, de peaufiner les scams (ou arnaques nigérianes). « Je vous donne un exemple grossier : en découvrant, par Facebook, que vous vous appelez Thierry Denoël, que vous êtes journaliste au Vif/L’Express, et en ayant votre adresse e-mail, je peux vous envoyer un scam en me faisant passer pour un confrère français, ayant travaillé à L’Express, coincé à l’étranger et ayant un besoin urgent d’argent que je vous rendrai avec de forts intérêts, explique Samia Ihammouinne. Vous serez plus en confiance. Vous y réfléchirez à deux fois. »

Chaque année, ces escroqueries rapportent plusieurs centaines de millions de dollars à leurs auteurs. En 2010, un procès américain a montré qu’un cyber-escroc avait réussi à soutirer 1,3 million de dollars à soixante-sept victimes de son scam, soit près de 20 000 dollars par victime !

Les données personnelles permettent aussi de découvrir les mots de passe utilisés par les internautes sur leur PC. Malgré les avertissements, la plupart restent peu imaginatifs. Pour élaborer leur mot de passe, ils reprennent dates de naissance, prénoms des enfants, de la compagne, du chien, code postal, etc. Autant d’informations qu’on déniche facilement sur Facebook et qui aident les pirates, armés de logiciels chercheurs, à subtiliser les précieux sésames. On se souvient du célèbre hack du compte mail de Sarah Palin, il y a trois ans. Un étudiant de l’université du Tennessee avait trouvé son mot de passe en quarante-cinq minutes rien qu’en tentant le coup avec des données personnelles de l’ancien gouverneur de l’Alaska, trouvées sur le Net.

Dans son livre blanc, Bitdefender prédit que les arnaques classiques vont perdurer et même s’intensifier sur Facebook. Ainsi l’application « Découvre qui a consulté ton profil » a encore de beaux jours devant elle. Complètement bidon (Facebook ne donne pas ce genre d’info !), déclinée en quatorze versions différentes selon la langue du pays, cette appli a encore connu un regain d’activité l’an dernier. En réalité, en cliquant dessus, un virus s’installe sur votre PC : vers, bots, chevaux de Troie, spyware, faux logiciels de sécurité… Bref, tout ce que fournit l’industrie cybercriminelle.

Autre arnaque connue en recrudescence, selon Bitdefender : le like-jacking. Cela consiste à détourner la fonction « J’aime » de Facebook. Après avoir cliqué sur un lien pour voir le contenu d’une vidéo au titre souvent racoleur (« cette fille se déshabille » ou « cet homme se suicide en direct »), la victime découvre qu’un message a été posté automatiquement sur son mur indiquant qu’il a aimé ce lien et invitant ainsi ses amis à cliquer dessus. « En fait, un script Java a installé un bouton « J’aime » sous le bouton « Voir la vidéo », explique Samia Ihammouinne. Cela génère un trafic exponentiel pour le site hébergeur de la vidéo qui peut en retirer des revenus publicitaires. Dans le meilleur des cas, l’internaute a simplement donné un clic. Mais il arrive souvent que le site hébergeur propose, pour voir la vidéo, de télécharger un programme qui infecte votre PC. »

Avec les nouvelles fonctionnalités de Facebook, les interactions entre utilisateurs vont augmenter. C’est le but recherché par le réseau social qui vit de ces échanges et des données personnelles de ses membres. Mais cela aura des conséquences sur la rapidité avec laquelle une arnaque se répand. L’autre grande nouveauté de la version 8, l’Open Graph, qui permet de partager simultanément la même musique, le même film ou la même actu qu’un ami et que Facebook vient d’ouvrir à tous les développeurs, risque d’accroître les pandémies virales.

Bref, pour les Facebookiens soucieux de leur avenir, les conseils de prévention restent plus que jamais : la meilleure façon de protéger ses informations personnelles, c’est encore de ne pas les donner. Ne pas oublier non plus de changer régulièrement de mot de passe, en utilisant lettres, majuscules, chiffres et caractères spéciaux. C’est le b.a.-ba de tout internaute averti.

THIERRY DENOËL