Sur les traces des escrocs sociaux

Ettore Rizza
Ettore Rizza Journaliste au Vif/L'Express

 » Facebook rose « , vidéos aux titres accrocheurs, messages privés en anglais… Où mènent ces liens sur lesquels aucun internaute censé ne cliquerait ? Nous l’avons fait pour vous. Munis d’une protection double épaisseur.

Avec 850 millions d’utilisateurs, Facebook représente désormais une population presque égale à celle des deux Amériques réunies. Quant aux 140 millions de comptes actifs sur Twitter, ils pourraient peupler la Russie. Pour les spammeurs et fraudeurs en tout genre, ce ne sont pas des eldorados qui se profilent à l’horizon, ce sont des continents entiers.

Quel genre de profits escomptent-ils ? Pour en donner une idée, nous avons revêtu pendant quelques jours la tunique du parfait naïf, du genre à cliquer sur tous les liens qui se présentent. Mais pas n’importe comment. Afin de protéger nos données personnelles, nous avons créé un personnage fictif doté d’une adresse mail à son nom et de ses propres comptes Facebook et Twitter. Et parce qu’on ne peut pas briller tous les jours par son imagination, nous l’avons baptisé Jean Sanspeur… Nous nous sommes ensuite connectés au Web à l’aide du logiciel Sandboxie, qui préserve le disque dur contre l’installation de logiciels malveillants. Ainsi cuirassés, nous avons testé tous les liens suspects que l’on peut croiser au hasard des pérégrinations sur les réseaux sociaux. En voici trois qui prospèrent en ce moment.

La fausse rumeur sur le Net

Tiens, l’un de nos contacts nous a envoyé un message privé sur Twitter. Mais pourquoi diable en anglais ?  » Hey, some person posting very bad stuff about you !  » (Hé, quelqu’un a mis en ligne de sales trucs à ton propos !) Bigre ! Le message s’accompagne d’une adresse Internet : goo.gl/pggK6 (1). Ce genre d’URL raccourcie est bien pratique sur un réseau social qui limite la longueur des messages à 140 caractères. Problème : on ne sait jamais vers quel site elles débouchent. Règle numéro 1 : ne jamais cliquer dessus. Sauf lorsque l’on s’appelle Jean Sanspeur.

Zut, nous avons été déconnectés de Twitter ! C’est en tout cas ce qu’affirme la fenêtre qui vient de s’ouvrir. Sur la page, le célèbre moineau bleu nous invite à retaper nom d’utilisateur et mot de passe. Mais ne serait-ce pas plutôt un vilain coucou déguisé ? Car si le design du site est assez bien imité, l’adresse l’est un peu moins : www.tvvItter.com/… Tant pis. Fidèle à notre pseudonyme, nous encodons les données de Jean Sanspeur dans les champs indiqués. Et là, hop, retour immédiat sur le vrai Twitter. Comme s’il ne s’était rien passé. Sauf que Jean, notre alter ego étourdi, vient de livrer son compte sur un plateau à un pirate informatique. En même temps qu’un mot de passe qui, comme chez la majorité des internautes, est aussi celui de sa boîte mail…

Il faudra attendre quelques heures pour constater les effets de sa bévue. En soirée, le compte de Jean envoie un premier message privé à son unique contact – un certain @Ettore-Rizza :  » Hello… someone is posting nasty rumors about you here.  » Pendant la nuit, son profil public se met à publier des messages publicitaires :  » How to Lose 5 lbs of Fat in a week  » (comment perdre 5 livres de graisse en une semaine), suivi de l’adresse d’un site ukrainien. La bonne nouvelle, c’est qu’aucune connexion suspecte n’est enregistrée les jours suivants sur sa boîte mail, dont le mot de passe, on l’a dit, est identique à celui de son compte Twitter. Jean a  » simplement  » été victime d’un spammeur rémunéré au clic par un marchand de pilules miracles. Il devrait en être quitte pour changer de mot de passe.

L’identité du spammeur ? Une recherche de  » tvvItter.com  » sur le site who.is permet de savoir qui a enregistré ce nom de domaine : la société Jiangsu Bangning Science & Technology Co. LTD, basée à Shanghai. Une véritable plaie du Web, si l’on en croit les centaines de milliers de références sur Google…

Le  » Facebook rose « 

Vous en avez marre du Facebook bleu ? Cela tombe bien, un message qui circule beaucoup sur le réseau social propose de le repeindre en rose ! Voilà typiquement le genre de proposition qui met Jean Sanspeur dans tous ses états. Ni une ni deux, notre grand dadais clique et se retrouve sur une page Web ornée d’un grand F rose.  » Cliquez sur J’AIME et vous êtes prêts.  » Jean se rue, bien sûr. Aussitôt apparaît une petite fenêtre qui lui propose d’installer un module complémentaire dans son navigateur Internet, en l’occurrence Google Chrome. Un  » plugin  » pas du tout invasif, puisqu’il demande simplement l’accès à  » vos données sur tous les sites Web  » [sic].

Sitôt le module installé, Jean est renvoyé sur Facebook qui, c’est vrai, est repeint en rose. Sauf qu’une nouvelle petite fenêtre apparaît :  » Prenez 30 secondes pour réaliser une vérification et prouver que vous êtes humain.  » Pour la fermer, Jean devra cliquer sur le lien  » Gagnez un iPhone 4S !  » Derechef, il quitte le réseau social et est redirigé sur la page d’accueil du site qubble.com – ou encore tracking-technology.com. S’il veut remporter son joujou, il devra d’abord réussir à retrouver les trois pommes cachées sur l’écran d’un iPhone. Jean ignore que ce genre de petit jeu, de même que les quiz, servent généralement à distraire l’attention de l’internaute. Il s’exécute comme demandé et reçoit aussitôt un SMS qui l’invite à envoyer le mot  » OK  » au 9955. Cette fois, il évite de tomber dans le piège qui consistait à souscrire un abonnement de 12 euros par semaine à un opérateur néerlandais de SMS surtaxés… De retour sur Facebook, toujours repeint, il ne songe pas à effacer la publicité pour le Facebook rose publiée sur son mur (après tout, ça marche !). Il poursuit sa navigation, tout fier de sa nouvelle interface colorée que lui seul peut voir. En compagnie de son mystérieux plugin autorisé à consulter toutes ses données sur le Web… Celui-ci peut être désinstallé facilement, mais bien malin qui saurait quelles informations il a recueillies entre- temps. Ou à qui il les a transmises.

Dans une variante de la même arnaque, les fraudeurs proposent d’installer une application Facebook à la place du plugin pour le navigateur. Cette dernière renvoie toujours au site de SMS surtaxés, mais sans modifier en rien l’allure du réseau social. La tentative d’escroquerie est cette fois chimiquement pure.

La petite vidéo racoleuse

Lorsqu’un contact Facebook publie sur son mur une vidéo intitulée  » Regardez ce que cette fille va faire sur la plage devant plus de 1 000 personnes ! « , qui saurait résister à la curiosité ? Certainement pas notre cliqueur fou. Lequel se retrouve nez à… enfin, face aux publicités pornographiques du site buzzzzzzmania7.info (le nombre de z et le chiffre varie sans arrêt). Pour pouvoir consulter la vidéo, notre grand curieux devra d’abord partager sur son profil un lien vers une autre vidéo du même genre, puis un second intitulé  » comment perdre du poids rapidement « . Ce dernier mène sur la page Facebook de  » Fourneau brûleur de graisse « , un livre de régime draconien édité par un certain Rob Poulos, manifestement originaire du Michigan. Tout ça pour ça ? C’est déjà beaucoup. Avec près de 465 000 mentions  » j’aime  » sur sa seule page en français, Mister Poulos ne peut que se réjouir d’avoir fait appel aux services de  » buzz atomic « , le diffuseur de vidéos virales qui propage sa publicité.

Quant à Jean Sanspeur et sans jugeote, il se retrouve au terme de son petit tour avec une page d’accueil Facebook saturée de spams et de liens viraux. Rien de bien grave, semble-t-il, mais guère rassurant à propos de la sécurité sur les réseaux sociaux. Pour le même prix,  » Facebook rose  » ou les vidéos virales auraient pu diffuser de redoutables vers informatiques.

Ce n’est d’ailleurs sans doute qu’une question de temps. Dans son Rapport sur l’état des e-menaces au 2e semestre 2011, l’éditeur d’anti- virus Bitdefender prédisait, pour 2012, l’apparition d’une  » famille importante  » de logiciels malveillants  » se diffusant via des liens postés directement sur les murs des utilisateurs « .

Pas sûr que le moment venu, Jean Sanspeur lui-même se risquera à cliquer dessus…

(1) Lien interdit d’accès depuis par Twitter.

Ettore Rizza

Pas vite gênés, ces plugins…

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire