Une cyberattaque d’envergure vise Facebook. En promettant un faux badge bleu, les cybercriminels cherchent à s’emparer de votre compte. Pour arriver à leurs fins sans se faire repérer, ils réclament d’abord vos cookies de session.
Une nouvelle cyberattaque vise actuellement les utilisateurs de Facebook. Comme l’expliquent les chercheurs de Hunt.io, à l’origine de la découverte de l’opération, il s’agit d’une campagne de type ClickFix. Ce genre de campagne malveillante consiste à manipuler les internautes pour les conduire à réaliser des actions bien précises. Sans s’en rendre compte, la cible d’une attaque ClickFix va installer un malware ou donner l’accès de son ordinateur aux cybercriminels. La victime réalise elle-même les opérations malveillantes, ce qui permet aux pirates de contourner les protections et les mécanismes de sécurité.
Recent #phishing campaign lures social media content creators by claiming they are eligible for free #verified badges. A video instructs viewers to copy authentication tokens from their browser cache and paste the info into a submission form. More info at https://t.co/fVuTjdatDG pic.twitter.com/SB0hMBjiR6
— Unit 42 (@Unit42_Intel) December 18, 2025
L’attaque cible surtout les créateurs de contenu et les propriétaires de pages professionnelles. Selon les investigations menées par les chercheurs, la cyberattaque a gagné en intensité depuis le début de l’année dernière. Elle a d’abord été repérée par Unit42 Threat Intelligence le mois dernier. Au moins 115 pages de phishing ont été développées et diffusées dans le cadre de la cyberattaque.
À lire aussi : Cyberattaque contre Instagram – le réseau social corrige une faille de sécurité
La promesse d’un badge bleu
L’offensive débute lorsque la cible reçoit un message qui lui promet un badge bleu, le petit symbole de vérification qui apparaît à côté du nom d’un compte sur Facebook. De nombreux créateurs rêvent d’obtenir ce badge de vérification pour apparaître plus crédibles aux yeux de leurs potentiels clients. Pour l’obtenir, il faut généralement s’inscrire à l’abonnement Meta Verified. Meta accorde aussi le badge sans abonnement aux personnalités déjà connues. Pour appâter les victimes, les pirates mentionnent aussi parfois un « problème urgent » sur leur compte.
Le message contient un lien vers ce qui ressemble à un outil officiel de vérification ou au centre d’aide Facebook. Si l’internaute clique, il se retrouvera sur une page factice qui ressemble à un portail de vérification officiel. Une animation est visible sur cette page pour tenter d’endormir la méfiance de l’internaute. Une fois l’animation terminée, l’utilisateur est automatiquement redirigé sur une seconde page. Celle-ci reprend à la lettre le design du site officiel de Facebook. L’internaute est donc persuadé d’être toujours sur le réseau social.
Un sentiment d’urgence
Sur cette page, de grands encadrés rouges affichent des messages alarmants qui réclament une intervention immédiate, avec des boutons « Action requise ». Dans certains cas, les pirates affichent même un compte à rebours pour pousser l’internaute à agir sans réfléchir. Comme toujours, les cybercriminels veulent créer un sentiment d’urgence chez leur cible.
Le site factice prétend que le compte a été signalé ou « sélectionné » pour une vérification gratuite et qu’il faut impérativement suivre la procédure indiquée pour en profiter. Pour réaliser la vérification, l’internaute est invité à suivre un processus bien précis. Une vidéo s’affiche même à l’écran pour guider l’utilisateur.
Des cookies de session volés
Celui-ci va devoir cliquer dans le navigateur pour afficher des informations techniques cachées liées à Facebook. Il va être invité à copier deux lignes très précises, qui correspondent aux cookies créés par Facebook pour se souvenir qu’un compte est connecté au navigateur. Les cookies servent à prouver qu’une session est valide, sans devoir redemander un mot de passe à chaque page.
Convaincue d’aider Facebook à « vérifier » son compte, la cible recopie ces cookies dans un formulaire. Un script JavaScript vérifie alors en temps réel si les cookies communiqués sont valides. Les pirates vont alors demander à l’internaute de ne pas se déconnecter de Facebook pendant 24 heures.
Cette demande permet aux attaquants de s’assurer que les cookies de session resteront actifs le temps qu’ils prennent le contrôle du compte. Avec les cookies de session récupérés, ils peuvent se connecter au compte en se faisant passer pour la victime. Il ne manque plus que le mot de passe, qui est d’ailleurs récupéré à l’étape suivante. Notez que si le vol de cookies « échoue, le processus bascule vers les codes d’authentification ».
Une ultime vérification… pour voler votre mot de passe
Après avoir collecté les cookies, la page va réclamer une « ultime vérification » et demander à l’utilisateur de se connecter avec son mot de passe. Avec le cookie et le mot de passe, le pirate peut pénétrer dans le compte en se faisant passer pour son propriétaire. L’attaquant va alors changer le mot de passe, modifier les moyens de paiement éventuels, publier en son nom ou lancer des campagnes d’arnaques sur le réseau social. Bref, le cybercriminel arrive à ses fins et exclut l’internaute de son propre compte Facebook.
Pour éviter de tomber dans ce genre de piège, rappelez-vous que Facebook ne vous demandera jamais de fournir des cookies de session, ni d’autres informations techniques issues de votre navigateur. Il faut considérer les cookies comme des informations sensibles, aussi sensibles que vos mots de passe.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.