Première publication le 4 janvier 2008

Pour la première fois, un widget, « Secret Crush », a permis de diffuser un logiciel espion parmi les adhérents du réseau social. Une pratique qui va s'amplifier et qui menace aussi les entreprises.

N'aimeriez-vous pas savoir qui, parmi vos connaissances, est rongé par un amour secret pour vous ? Peut-être que oui. En tous cas, c'est que qu'ont voulu savoir les nombreux utilisateurs du widget malicieux « Secret Crush » sur Facebook. Découvert par l'éditeur Fortinet, cette application incite d'abord la victime à recruter cinq nouveaux utilisateurs, avant de lui proposer le téléchargement d'un logiciel qui abrite un spyware. Une fois installé, difficile de s'en débarrasser.

« C'est la première fois qu'un widget est utilisé pour diffuser un logiciel malveillant sur Facebook. Le développeur de cette application est un affilié de Zango, un fournisseur connu de logiciels espions. Pour chaque téléchargement, il reçoit quelques cents, ce qui peut se transformer rapidement en beaucoup d'argent sur des réseaux sociaux », explique Guillaume Lovet, responsable de l'équipe antivirus chez Fortinet.

Selon l'éditeur, Secret Crush a réussi à capter en peu de temps près de 3 % des utilisateurs de Facebook, ce qui représente plus d'un million de personnes. Si une personne sur dix a installé le logiciel, le créateur de Secret Crush a donc pu gagner plusieurs milliers de dollars.

Il est très probable que ce type de menaces va se généraliser en 2008 et toucher les réseaux sociaux à vocation professionnelle comme LinkedIn ou Viadeo. Basé sur la collaboration et le partage d'application (mash-up), le Web 2.0 est un vecteur de diffusion particulièrement efficace pour les pirates informatiques, car il multiplie les possibilités de connexions.

Facebook est une cible de choix à plusieurs titres : c'est l'un des réseaux les plus larges et il permet d'intégrer facilement des applications tierces. En plus, les utilisateurs sur Facebook se côtoient sous leurs véritables identités, ce qui intéresse particulièrement les spammeurs et autres fournisseurs de logiciels publicitaires (adware). « Toute utilisation de widgets sous Facebook présente un risque, car ces applications accèdent automatiquement à l'ensemble des données personnelles », précise Guillaume Lovet.

Pour les entreprises, le risque est loin d'être négligeable, vu le nombre d'employés qui utilisent quotidiennement ce type de sites au bureau, que ce soit pour une utilisation personnelle ou professionnelle. Comment se prémunir ? Bloquer l'accès à ces sites est une méthode brutale et difficilement envisageable. « Nous préconisons l'éducation des utilisateurs et l'utilisation de solutions de sécurité préventives, comme la réputation de sites Web, qui permettent de bloquer l'accès avant qu'un logiciel malveillant ne passe », explique Sébastien Commérot, responsable marketing Europe du Sud chez IronPort, une division de Cisco Systems.

Du coté de Facebook, on s'en lave les mains. Le réseau social décline toute responsabilité liée aux applications tierces et ne souhaite pas particulièrement vérifier leur qualité ou leur contenu. A mesure que les menaces s'intensifieront, cette politique sera peut-être amenée à changer.