Meta a averti, vendredi 7 octobre, qu’un million d’utilisateurs de Facebook ont téléchargé ou utilisé des applications mobiles à l’apparence innocente mais conçues pour voler leur mot de passe d’accès au réseau social. « Cela ne veut pas dire nécessairement qu’elles ont été piratées », a annoncé David Agranovich, directeur des équipes de cybersécurité de Meta, lors d’une conférence de presse.
Depuis le début de l’année, la maison mère de Facebook et d’Instagram a identifié plus de 400 applications « malveillantes ». « Ces applis étaient présentes sur le Google Play Store [Android] et l’App Store d’Apple [iOS] et se faisaient passer pour des outils d’édition de photos, des jeux, des VPN et d’autres services », a détaillé Meta dans un communiqué.
Ciblage indifférencié
Une fois téléchargées et installées sur le téléphone, ces applications piégées demandaient aux utilisateurs d’entrer leurs identifiants Facebook pour pouvoir utiliser certaines fonctionnalités. « Elles essaient juste d’inciter les gens à donner leurs informations confidentielles pour permettre à des hackeurs d’accéder à leurs comptes », a résumé David Agranovich.
Il estime que les développeurs de ces applications cherchaient probablement à récupérer d’autres mots de passe, pas seulement ceux de profils Facebook. « Le ciblage semblait assez indifférencié », a-t-il relevé. Le but semblait « d’obtenir le plus d’identifiants possible ».
Meta a déclaré avoir partagé ses conclusions avec Apple et Google. Apple n’a pas répondu à une sollicitation de l’Agence France-Presse (AFP), mais Google a répondu avoir déjà retiré de son Play Store la plupart des applications signalées par Meta. « Aucune des applis identifiées dans le rapport n’est encore disponible sur Google Play », a écrit un porte-parole de Google à l’AFP.
Plus de 40 % des applications signalées servaient à éditer des images. D’autres consistaient en de simples outils, pour transformer son téléphone en lampe torche par exemple. Meta a déclaré qu’elle partagerait des conseils avec les victimes potentielles sur la façon dont elles peuvent éviter d’être « compromises à nouveau » en apprenant à mieux repérer les applications problématiques qui volent les informations d’identification, que ce soit pour Facebook ou d’autres comptes. David Agranovich a toutefois recommandé aux utilisateurs de se méfier d’un service qui demande des identifiants sans raison valable ou fait des promesses « trop belles pour être vraies ».