"C'est toi dans cette vidéo?"

En ce moment sur Facebook nous recevons beaucoup de messages sur le profil de CAPS via Messenger qui nous disent: "ça te ressemble... 💔", avec un petit cœur brisé qui pourrait laisser croire qu'il s'agit d'un.e ex ou d'un amour caché, et un lien à cliquer vers une prétendue photo ou vidéo.

Bien sûr, comme le profil de CAPS correspond à un centre social, il serait bien étrange que l'on reçoive autant de messages d'amoureux... Il s'agit d'un Ver Facebook, un type de virus Facebook, aussi appelé un Virus Messenger, puisque c'est par la messagerie de Facebook qu'il se transmet.

Ces virus ont pour but d’accumuler un maximum de victimes, en d’en tirer bénéfices. Les victimes peuvent se retrouver dérobées, elles peuvent également contribuer à l’enrichissement du pirate, ou être contraintes à payer une rançon…etc.

Le virus Facebook classique est un programme malveillant qui publie des informations à l’insu et au nom de la victime. Il peut s’agir de publications de statuts sur Facebook, mais aussi de photos, vidéos ou liens.

Comment ça se propage?

En gros: on reçoit ce message fait pour piquer notre curiosité, qui demande de regarder une photo ou une vidéo pour que l'on clique sur un lien. Par la suite on nous dit qu'on ne peut pas lire le fichier car on n'a pas le bon logiciel: on nous demande d'en installer un, avec le lien d'installation.

Et là en fait on nous fait installer le ver qui va ensuite envoyer le même message à nos contacts en notre nom.

Bien qu'on les appelle "vers Facebook", ces vers sont habituellement programmés en tant qu’extensions de navigateurs. Une telle extension est un code qui s’exécute directement dans le navigateur (comme les modules pour avoir la météo, ou bloquer les publicités par exemple). Pour bien comprendre le concept, vous pouvez imaginer un code qui dirait « lire le nom d’un ami Facebook visible et en ligne » puis « simuler un envoi de message à cet ami contenant son propre nom ».

C'est possible car l’extension se situe dans votre navigateur. Elle peut donc LIRE TOUS LES SITES VISITÉS, et MODIFIER LE CONTENU ou PUBLIER DU CONTENU sur des sites à votre insu. Et elle voit donc quand vous êtes connecté sur Facebook.

Cette extension va créer un message, ainsi qu’une description, une image et un lien, et publier automatiquement en tirant parti de votre session Facebook que vous avez ouverte: l’extension simule une publication sur Facebook, et comme vous êtes déjà authentifié, il n’y a pas besoin de faire de vérifications de mot de passe.

Le lien va ressembler à un site connu (par exemple Youtube ou Facebook) et bloquera bizarrement la lecture de la vidéo. Pour la débloquer, il faudra soit payer, soit fournir des données personnelles…soit télécharger une extension qui se veut faussement être « un lecteur vidéo ». Vous l’aurez deviné, cette extension est en fait le ver lui même. Ce dernier fait une nouvelle victime : VOUS qui l’installez de plein gré pour lire une vidéo fictive. C’est maintenant à votre tour de propager des fausses vidéos à tous vos amis…qui…à leur tour vont re-propager le ver en cliquant et un installant l’extension.

Ce qui permet à un ver Facebook de se répandre, c’est donc ça capacité à se faire passer pour la personne infectée de la façon la plus réaliste possible. C’est le même stratagème qui est employé dans les attaques par Phishing dont on a déjà parlé sur ok-caps. Le pirate essaye de rendre son piège le plus adapté possible à sa potentielle victime.

La façon la plus générique de faire est de passer par les sentiments que tout le monde partage, et qui poussent à agir : la peur, l’amour, la réussite…etc.

• Exemple de message générique faisant peur : « Cette vidéo de toi à été filmée à ton insu…c’est horrible », « c’est toi sur cette vidéo ? », « Salut Michel, c’est toi dans la vidéo ? »

• Exemple de message générique sur l’amour : « Elle/Il s’appelle X et t’a aperçu l’autre jour, je crois qu’il/elle t’apprécie… »

• Exemple de message générique sur la réussite : « Vous venez de gagner 1000€ ! »

Ainsi ces vers profitent de la faille qui est la plus facile à exploiter : les utilisateurs!

Comment supprimer les virus sur Facebook

Voici quelques étapes simples et droit au but pour vraiment supprimer les vers informatiques qui pourraient avoir été propagés dans votre navigateur :

1. Faire un scan avec AdwCleaner

Vous pouvez télécharger AdwCleaner à l’adresse suivante. Une fois téléchargé, appuyez sur le bouton Scan, puis Nettoyer, et redémarrez votre ordinateur. Les potentielles extensions indésirables devraient être nettoyées.

2. Réinitialiser votre navigateur

Cela enlèvera à coup sûr les extensions malveillantes potentiellement installées dans votre navigateur. Vous trouverez de la documentation en ligne concernant la façon de réinitialiser votre navigateur. Voici comment faire avec Chrome et Firefox.

3. Prenez conscience des risques et restez vigilant

Les problèmes que vous rencontrez sont très souvent dus à un clic de curiosité par ici, ou à un manque de vigilance par là. Ce problème ne peut pas être corrigé avec un antivirus, ni par un autre programme. Ce problème, c’est vous qui devez le corriger en prenant du recul sur ce qui s’affiche sur votre écran! Vous êtes bien parti, puisque désormais vous connaissez les risques qu’implique un clic innocent sur un lien ou une vidéo fictive, il suffira dorénavant d'écouter la petite voix qui vous rappellera de ne pas céder à la curiosité! ;-)