Le déploiement du nouveau cryptage sécurisé du protocole Hypertext Transfer Protocol de Facebook est sur le point d'être terminé. (Elinor Mills a décrit cette fonctionnalité dans un billet publié sur son blog InSecurity Complex la semaine dernière.) Le chiffrement est un ajout bienvenu au réseau social, mais il est loin d'une panacée en matière de sécurité sur Facebook.
Pour activer le cryptage dans Facebook, cliquez sur Compte dans le coin supérieur droit et choisissez Paramètres du compte. Sélectionnez Modifier en regard de Sécurité du compte pour afficher vos paramètres actuels. Cochez l'option sous Navigation sécurisée (https). Vous pouvez également cocher la case "Envoyez-moi un courrier électronique" sous "Lorsqu'un nouvel ordinateur ou appareil mobile se connecte à ce compte" pour être averti d'un éventuel accès non autorisé à votre compte.
Il est bon que Facebook prenne des mesures pour protéger ses clients contre les fraudeurs et les voleurs d'identité, mais l'entreprise et les services Web ne peuvent pas faire beaucoup plus pour contrecarrer les fous et les fournisseurs de programmes malveillants. Dans le cas de Facebook, le lien faible peut être constitué de jeux et d’autres applications qui ne sont pas chiffrés.
Plus tôt cette semaine, Graham Cluley, chercheur en sécurité chez Sophos, a écrit dans son blog Naked Security sur une faille Facebook découverte par deux étudiants. Selon Cluley, les logiciels malveillants peuvent imiter une application ayant obtenu l'autorisation d'accéder à vos données et de la publier sur votre mur pour lancer des attaques de phishing et propager des virus et des chevaux de Troie.
Le chercheur a été initialement incapable de dupliquer la méthode d'attaque car ses paramètres de sécurité Facebook étaient "assez rigides", mais la réduction des paramètres lui a permis d'accéder à son compte via l'application frauduleuse.
En août 2009, j’ai expliqué comment modifier les paramètres de sécurité par défaut de Facebook pour rendre le service plus sûr. Les options de confidentialité ont quelque peu changé depuis ce temps, mais les étapes pour renforcer votre sécurité Facebook sont à peu près les mêmes. La page de contrôle de la manière dont vous partagez vos comptes de Facebook détaille les options de sécurité du service.
Cluley rapporte que les étudiants ont informé les responsables de la sécurité Facebook de la faille et que celle-ci avait été corrigée. Mais comme le souligne le chercheur Sophos, un système complexe tel que Facebook contiendra certainement d’autres failles, dont certaines pourraient être exploitées par des méchants.
Utilisateurs de Facebook ciblés par des phishers
Comme vous vous en doutez, le succès de Facebook en a fait une cible favorite des escrocs sur Internet. Le fournisseur de solutions de sécurité Panda Security a récemment fait état de deux nouvelles attaques de logiciels malveillants visant à amener les utilisateurs de Facebook à ouvrir une pièce jointe fictive et à cliquer sur un lien contenu dans un message instantané, respectivement.
L'e-mail avertit les utilisateurs que leur compte Facebook est utilisé pour envoyer du spam et que leur mot de passe a été modifié. Ils sont invités à ouvrir la pièce jointe du message, qui comprend une icône Microsoft Word, pour trouver leur nouveau mot de passe, puis à se connecter et à modifier le mot de passe. Selon les chercheurs de PandaLabs, la pièce jointe ouvre Word pour laisser penser aux utilisateurs que c'est légitime, mais elle ouvre également tous les ports de leur système et se connecte aux services de messagerie pour tenter d'envoyer du spam.
Le lien dans la fausse messagerie instantanée télécharge un ver qui reprend le compte Facebook de la personne et la verrouille, en affichant un message lors de la tentative de connexion lui indiquant que le compte a été suspendu. Pour réactiver le compte, le message leur demande de remplir un questionnaire et même de promettre des prix pour le faire.
Le questionnaire demande même que le numéro de téléphone portable de la personne reçoive des "crédits de téléchargement de données" et un nouveau mot de passe à utiliser pour réactiver le compte. Cela enfreint plusieurs des règles cardinales de la sécurité informatique:
• Ne cliquez pas sur des liens dans des courriels ou des messages instantanés, même si vous pensez faire confiance à l'expéditeur. Les hameçonneurs peuvent avoir compromis le compte de la personne pour l'utiliser dans leurs stratagèmes néfastes.
• N'ouvrez pas les pièces jointes que vous n'attendez pas sans les avoir préalablement vérifiées auprès de l'expéditeur.
• Ne communiquez pas d'informations personnelles sur un site qui ne fait pas confiance et qui n'utilise pas de cryptage. Recherchez "https:" au début de l'URL et l'icône de verrou, soit près de l'adresse en haut de l'écran, soit dans la barre d'état en bas de l'écran, en fonction de votre navigateur.
Il y aura certainement de nouvelles tentatives plus astucieuses pour amener les utilisateurs de Facebook à donner aux voleurs et aux fous l'accès à leurs comptes. Se protéger contre eux est la responsabilité de chaque utilisateur de Facebook. Il commence par savoir que les méchants attendent que nous baissions la garde.
Laissez Vos Commentaires