A en voir sa progression, Facebook semble n’avoir que le ciel comme limite et pourtant la question de sécurité remet Mark Zuckerberg (son créateur) les pieds sur terre. Le site est de plus en plus propice à être exploité comme une base d’attaques par déni de service (Denial of Service ). Facebook est victime de malwares et de phishing. La faille informatique et la faille humaine sont ainsi exploitées.

Le réseau social sur internet propage de plus en plus d’attaques à son insu. Des malwares affectent Facebook. Les malwares sont des messages d’amis qui proposent un lien, dans le cas repéré une vidéo Youtube, et qui redirige vers un site malveillant. Ce site scanne le système d’exploitation de la victime.

La redirection propose à l’utilisateur d’installer un « fake codec » (un faux codec de flash Macromédia, ou faux codec vidéo). L’installateur du malware active le ver, qui scanne le système à la recherche de cookies Facebook et utilise ces informations pour envoyer de nouveaux messages d’attaque aux amis figurant sur la liste de la victime. Une chaine se met en place rapidement. Elle infecte de nombreux profils en un minimum de temps.

Le phishing (hameçonnage) est une technique de tromperie. Les pirates imitent l’apparence d’une page web et en profite pour voler les identifiants et les codes de connection d’un utilisateur. Ils prennent alors le contrôle du profil et s’emparent de toutes leurs données personnelles.

De nombreux sites et entreprises spécialisés sur les questions de sécurité informatique (Kaspersky Lab, Sophos , securityfocus.com, f-secure.com, bitdefender.fr) révèlent de plus en plus d’attaques via Facebook.

Une précédente attaque par malwares a été prise en charge par Facebook. Le responsable de la sécurité informatique, Max Kelly a affirmé que « tout avait mis en œuvre pour bloquer le lien malveillant », indiquant au passage que seulement « 0,002 % des utilisateurs ont été finalement infectés ». Mais ces attaques se multiplient.

Facebook a du rehausser et rappeler les règles de « salubrité sécuritaire ». Chaque utilisateur doit signaler tout message de type spam, de disposer d’un système à jour, et de ne jamais partager un mot de passe avec quiconque.

Le site de réseau social a déjà poursuivi en justice une société canadienne, SlickCash, spécialisée dans l’Internet pornographique, pour tentative de vol d’informations personnelles de ses utilisateurs. SlickCash s’est introduit sciemment dans les serveurs de Facebook, a copié des données sans avoir le temps de les utiliser. Une attaque classique qui semble avoir été contrôlée.

Une autre faille sécuritaire a été dévoilée : les « widget » malveillants. L’application Secret Crusch par exemple piège les utilisateurs de Facebook en ouvrant la porte à un programme d’adware. L’utilisateur sans prende garde télécharge un « programme illicite d’adware , spyware » édité par la société Zango. L’application invite cinq de ses contacts. Les auteurs du widget reçoivent une rémunération en fonction du nombre de téléchargement.

Récemment le département sécurité Moneybookers ( l’un des leaders mondiaux sur le marché des solutions de paiement en ligne ) s’inquiète que la popularité croissante de Facebook. Il considère que les paramètres par défaut de Facebook en matière de confidentialité sont bien insuffisants pour une communauté sociale par réseau d’une telle ampleur. Les spécialistes observent une brusque augmentation des fraudes à l’identité. Ils mettent en garde les utilisateurs de ne pas être conscients des risques énormes auxquels ils s’exposent.

Le succès d’un réseaux social se mesure par son nombre d’utilisateurs. Le comble est que son déclin vient aussi d’eux . Leur inconscience, leur naiveté et leur passivité face aux attaques rendent la sécurité du réseaux social fragile. Les options de confidentialité ne sont pas assez sophistiquées et/ou peu pousser à être utilisées. Facebook devient une une vraie base d’attaques par déni de service.

La paranoïa n’est pas à l’ordre du jour, mais la vulnérabilité sécuritaire des membres d’un réseau social semble être la limite.

Kaspersky Lab
Sophos
Security Focus
F-Secure
Bit Defender
Fortinet
Get Safe Online