Depuis le début de l’année, Meta a détecté plus de 400 applications malveillantes au sein des magasins d’applications d’Android et d’iOS. Dans un communiqué publié le 7 octobre, le géant des réseaux sociaux déclare que ces dernières sont pensées pour voler les identifiants de connexion Facebook de leurs utilisateurs. Si les applications signalées ont été retirées du Google Play Store et de l'App Store, Meta appelle à la prudence. Un million de personnes seraient tombées dans le panneau.
Meta en guerre contre les applications trompeuses
Afin d'abuser les propriétaires de smartphones, ces applications se font passer pour des éditeurs de photos, des jeux, des VPN, ou d’autres services. Meta explique que « les cybercriminels connaissent la popularité de ce type d’applications. Ils utilisent ces thèmes pour tromper les gens et dérober leurs comptes et leurs informations ».
Voici le pourcentage d’applications malveillantes par catégories. Graphique : Meta.
Une fois installée, l’application demande aux utilisateurs de se connecter avec leurs identifiants Facebook pour accéder aux fonctionnalités promises. David Agranovich, directeur des équipes de cybersécurité de Meta, a souligné que « de nombreuses applications n'offrent que peu ou pas de fonctionnalités avant la connexion, et la plupart n’en offrent pas, non plus, après s’être connectées ».
Voici à quoi peuvent ressembler ce genre d’applications malveillantes. Image : Meta.
Selon David Agranovich, l’objectif de ces applications est clairement de récupérer le plus d’informations confidentielles possible. Il ajoute que les développeurs derrière ces logiciels ne chercheraient pas à récupérer seulement des identifiants Facebook. « Le ciblage semble assez indifférencié », rapporte Le Monde.
Comment repérer les applications malveillantes ?
Pour prévenir de prochaines tentatives d’hameçonnage, la technique utilisée par les cybercriminels pour récupérer des données personnelles, Meta donne quelques conseils. L’entreprise californienne met notamment en avant trois points pour identifier les applications malveillantes :
- L’obligation d’utiliser des identifiants d’un quelconque réseau social pour se connecter ;
- Les retours négatifs, souvent camouflés par de faux avis positifs ;
- L’accès aux fonctionnalités promises uniquement grâce à la connexion via un réseau social.
Si, pour David Agranovich, les utilisateurs ayant partagé leurs informations personnelles avec ces applications « n’ont pas nécessairement été piratés », il est important d’avoir les bons réflexes pour minimiser les risques. Aussi, Meta rappelle qu’il est essentiel de modifier régulièrement son mot de passe et de ne jamais l'utiliser deux fois.
Elle indique également que même si ses équipes travaillent pour que ce genre d’applications n’arrivent pas dans les mains du grand public, « certaines d’entre elles échappent à [leur] surveillance et se retrouvent dans les magasins d’applications ». En d’autres termes, il est nécessaire d'être constamment vigilant.
