Facebook reste le terrain de jeu préféré des cybercriminels. Pour pirater votre compte, les cybercriminels redoublent d’ingéniosité. Depuis quelques mois, les pirates s’appuient sur une nouvelle tactique de piratage qui est « presque impossible à détecter ». Elle comprend une fausse fenêtre de connexion « navigateur dans le navigateur » qui permet de siphonner vos identifiants et mots de passe en quelques secondes.
Facebook continue de faire partie des cibles de choix des cybercriminels. Avec plus de trois milliards d’utilisateurs actifs, le réseau social phare de Meta reste une cible incontournable pour les pirates désireux de propager des escroqueries en ligne. En s’attaquant à Facebook, un cybercriminel a la garantie d’avoir accès à une audience massive.
À lire aussi : Un virus se cache dans 75 pubs Facebook – elles ont touché « des dizaines de milliers d’utilisateurs »
Une stratégie pirate de plus en plus populaire
Pour parvenir à prendre le contrôle d’un compte Facebook, les cybercriminels se tournent depuis quelques mois vers une nouvelle stratégie de piratage, intitulée « Browser‑in‑the‑Browser », ou « navigateur dans le navigateur ». Lors du second semestre de l’année écoulée, les chercheurs de Trellix ont enregistré « une forte augmentation des tentatives d’hameçonnage sur Facebook » exploitant cette technique.
Apparue en 2022 suite à la découverte d’un chercheur en sécurité, la stratégie consiste à afficher une fausse fenêtre de connexion à l’intérieur de la véritable fenêtre de votre navigateur. Cette fenêtre factice est uniquement conçue pour voler identifiants et mots de passe. Une fois les informations de connexion exfiltrées, l’attaquant est en mesure de se connecter au compte Facebook comme s’il en était le propriétaire, pour peu que la double authentification ne soit pas activée. Actuellement, Meta impose l’authentification multifactorielle exclusivement aux comptes jugés à haut risque, comme ceux des journalistes, militants des droits humains, ou des responsables politiques. Pour les autres, l’authentification à deux facteurs reste une option fortement recommandée par Meta, et par tous les experts en cybersécurité, mais pas imposée à ce jour.
À lire aussi : Facebook et Instagram ont espionné votre historique de navigation pendant des mois
Une fausse fenêtre Facebook dans la fenêtre
La cyberattaque débute par la réception d’un mail, d’un message ou d’une notification qui prétend provenir de Meta ou d’un cabinet d’avocats spécialisé dans les droits d’auteur. Le message contient un lien vers une page de « recours », de « vérification » ou de « centre de confidentialité » soi‑disant officielle. Bien souvent, les pirates ont pris soin de raccourcir l’adresse URL pour berner l’internaute. Le raccourcisseur cache en effet un nom de domaine louche ou très long qui révélerait les intentions des hackers. Intriguée par le message, la victime va avoir tendance à cliquer sur le lien. Elle arrive alors sur une page, hébergée sur une infrastructure légitime, qui a été maquillée en portail officiel. Des éléments bien précis, comme des formulaires CAPTCHA et des logos officiels, visent à renforcer l’aspect officiel du site web.
L’atout de l’attaque réside d’abord « dans l’abus d’infrastructures de confiance, l’utilisation de services d’hébergement cloud légitimes comme Netlify et Vercel, et de raccourcisseurs d’URL pour contourner les filtres de sécurité traditionnels et donner un faux sentiment de sécurité aux pages d’hameçonnage », explique le rapport de Trellix.
C’est à ce moment-là que l’attaque « navigateur dans le navigateur » commence. Un script affiche une fenêtre de connexion Facebook qui ressemble parfaitement à une fenêtre pop‑up native du navigateur. Pour l’utilisateur, tout paraît normal. Techniquement, ce n’est pourtant pas une vraie fenêtre. Il s’agit d’un simple cadre affiché au sein de la page, qui reste lié à l’onglet ouvert et ne peut pas être déplacé en dehors de la fenêtre du navigateur. Bref, la fenêtre ressemble à une vraie fenêtre, mais elle ne se comporte pas vraiment telle quelle. Les pirates ajoutent des bordures, une barre de titre, et un faux bouton de fermeture pour donner l’impression qu’il s’agit d’un pop-up tout à fait anodin. C’est « quasiment impossible à distinguer d’une véritable fenêtre ».
L’apparition de cette technique « représente une escalade majeure » dans le milieu cybercriminel. En créant « une fausse fenêtre contextuelle de connexion personnalisée au sein du navigateur de la victime, cette méthode tire parti de la familiarité de l’utilisateur avec les flux d’authentification, rendant le vol d’identifiants presque impossible à détecter visuellement », estiment les chercheurs de Trellix.
Comment les pirates vous excluent de votre compte Facebook ?
Si la victime mord à l’hameçon, elle va renseigner ses identifiants, à savoir adresse mail ou numéro de téléphone, et taper son mots de passe. Les identifiants sont immédiatement envoyés au serveur de l’attaquant, qui peut ensuite prendre le contrôle du compte pour diffuser des escroqueries, récolter des données personnelles ou encore usurper votre identité. Les dégâts occasionnés par un compte Facebook peuvent être considérables. Avec les identifiants en mains, les pirates vont commencer par changer l’adresse mail ou le numéro de téléphone lié au compte. Cette pratique vise à exclure l’utilisateur de son propre compte Facebook.
« La menace du phishing sur Facebook s’intensifie et devient extrêmement sophistiquée, allant bien au-delà des simples liens malveillants facilement identifiables », mettent en garde les chercheurs de Trellix.
Pour se protéger contre les offensives de ce genre, il faut prendre une série de bonnes habitudes. En cas d’alerte « sécurité », « droits d’auteur », « compte bloqué », ne cliquez pas sur le bouton du mail ou du message. Ouvrez un nouvel onglet et tapez vous‑même l’adresse officielle de Facebook. Si le message vient vraiment de Meta, la même alerte apparaîtra dans les notifications de votre compte Facebook.
Si une fenêtre de connexion apparaît tout à coup, essayez de la glisser en dehors de la page ouverte. Une véritable fenêtre surgissante peut être déplacée en dehors de l’onglet, ce qui n’est pas le cas d’une fenêtre factice. S’il s’agit d’une fausse fenêtre, fermez l’onglet et ne communiquez aucune information. Par ailleurs, avant de saisir vos identifiants, vérifiez toujours l’adresse complète du site dans la barre de votre navigateur. Méfiez-vous des liens qui vous envoient vers des services comme netlify.app, vercel.app ou vers des URL raccourcies. Surtout, prenez le temps de configurer l’authentification à deux facteurs sur votre compte Facebook. Cette précaution est en mesure de bloquer une grande partie des cyberattaques.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.