Des apps malveillantes sur iOS et Android ont volé des identifiants Facebook

Mickaël Bazoge |

Meta a identifié 400 applications mobiles malveillantes (dont 47 sur iOS) qui volent les identifiants et mots de passe de connexion à Facebook. Sur Android, il s'agit d'apps en tout genre, comme des appareils photo, des éditeurs d'images, des VPN, des horoscopes ou encore du suivi d'activité sportive ; sur iOS, les malandrins ciblent plus spécifiquement les utilisateurs des services business du réseau social, avec des applications pour gérer ses statistiques ou ses campagnes publicitaires.

Crédit : Thought Catalog, Unsplash

Le principe est toujours le même : ces apps demandent de s'identifier en se connectant à Facebook, et au lieu de fournir les services demandés, elles subtilisent les informations de connexion. Les chercheurs en sécurité de Meta indiquent que Facebook a prévenu un million d'utilisateurs de ces apps, avec la recommandation de réinitialiser les mots de passe pour éviter tout problème.

Meta ne donne pas la liste complète des apps, néanmoins le groupe a partagé ses découvertes avec Apple et Google, qui devront faire le ménage dans leurs boutiques.


Source
avatar julien32 | 

Tout fou l'camp

avatar Fanoo | 

Si seulement ils avaient pu voler Facebook lui-meme… et le garder !

avatar fredsoo | 

Ça, c'est bien vrai :)

avatar Sillage | 

@Fanoo

Un rêve. C’est un rêve…

avatar fredsoo | 

On me dit dans l'oreillette que les petits lutin de l'Appstore veillent au grain et que c'est impossible....

avatar julien32 | 

@fredsoo

On va te dire que c'est pas la faute du store....

avatar fredsoo | 

Exact le vol de données n'est pas la faute du store, mais le store a laissé passer une app conçue pour voler les données....

avatar marc_os | 

@ fredsoo

> le store a laissé passer une app conçue pour voler les données

Et oui ma bonne dame, le monde n'est pas parfait !
L'êtes-vous vous même ?

Mais faut-il jeter le bébé avec l'eau du bain ?
Souhaitez-vous encore plus d'apps vérolées en supprimant toute vérification comme votre remarque le suggère ?

avatar r e m y | 

Pas UNE app, mais 47 !
Et là, ce ne sont que les apps destinées à récupérer les codes de connexion à FaceBook (car c'est Meta qui a détecté le problème), mais il est probable qu'il y ait des apps équivalentes s'attaquant aux codes de connexion à Google ou à iCloud... pourquoi seul Facebook serait ciblé ?

avatar marc_os | 

@ r e m y

> Pas UNE app, mais 47 !

Oui, et alors ?

avatar scanmb | 

@julien32

Vous avez raison de bien veiller à vos identifiants et de ne pas en faire n’importe quoi.
Merci beaucoup de ce conseil plein de bon sens

avatar scanmb | 

@fredsoo

Changer d’oreillette

avatar fredsoo | 

J’ai le top du top la crème de la crème…. AirPods 😁

avatar Sillage | 

@fredsoo

Ça s’appelle du phishing. En soit, il n’y a rien de malveillant. En lisant l’article en se rend compte que l’application ne re up été pas a elle seule les identifiants, mais les demandes.

Maintenant, je ne pleure pas les gens qui se les font attraper quand on sait l’usage de Facebook et de chaque truc débile qui demande les identifiants. Enfin… 🤷‍♂️

Si il y avait un peu plus de maturité en ligne, ce genre de truc ne fonctionnerait pas. Mais ce n’est que mon avis.

avatar thomasstm | 

Le bé à ba est de toute façon de systématiquement refuser les "login via facebook"… c’est pas mieux de filer toutes ses données perso à FB qu’à un pirate.

avatar raoolito | 

pas bien compris. quand on se connecte en passant par google, FB ou apple, normalement l'appp n'a pas d'infos de connexion autre que celles demandées et donc pas les mdp de ces comptes ??

avatar Ichigo-Roku | 

L'app demande très certainement de se connecter à Facebook, sauf qu'au lieu de présenter un écran de connexion Facebook, c'est un écran de connexion confectionné par le développeur qui veut récupérer des comptes.

avatar raoolito | 

@Ichigo-Roku

oh donc les gens n'ont pas peur de donner littéralement leurs infos de connexion ???
en gros ce que dit R-APPLE-R en dessous quoi
la vache

avatar Ichigo-Roku | 

Ils n'ont pas peur car ils pensent que c'est un écran de connexion appartenant à Facebook et non à l'app qu'ils sont entrain d'utiliser.
Ce que R-APPLE-R dit ce sont les préconisations depuis genre 15 ans, mais bon les gens ne sont pas sensibilisés à la sécurité, donc les gens ne se méfient pas.

avatar Oscar1245780 | 

@raoolito

Je pense que l’application a imité une page de connexion avec Facebook, c’est qui lui permet de récupérer l’identifiant et le mot de passe.

avatar R-APPLE-R | 

Voilà c’est se que je dis et répète ici même depuis des lustres !

NE JAMAIS SE CONNECTER AVEC SES IDENTIFIANTS ET MOT DE PASSE SUR UNE APPLICATION TIERCE !!!!

Et avoir un gestionnaire de mot de passe pour ne jamais avoir le même partout et surtout un très grand.

Utilisez d’authentification à 2 facteurs dès que possible surtout sur le gestionnaire de mots de passe lui même !

Après bien sûr il y’a des applications très connu à qui l’on peut faire confiance… mais soyez vigilant.😉

avatar Oracle | 

@R-APPLE-R

Yep, il est vital d’activer l’authentification à 2 facteurs sur tous les « hubs vitaux » de la vie privée : e-mail, clouds et réseaux sociaux. Banque aussi, mais avec la DSP2, c’est devenu une obligation.

avatar geooooooooffrey | 

"Banque aussi, mais avec la DSP2, c’est devenu une obligation".

Oui, en théorie.
Il y a dans le secteur bancaire des 2FA complètement débiles, chez LCL par exemple. La DSP2 impose aux banques de demander une 2FA au moins tous les 90 jours. LCL ne demande effectivement que tous les 90 jours, mais quelque soit l'appareil depuis lequel est faite la connexion. En clair : tu te connectes depuis ton PC chez toi, avec 2FA. Tu pourras te connecter pendant 90 jours sans 2FA depuis chez toi, mais aussi de n'importe où ailleurs pendant ces 90 jours. De quoi laisser le temps à des malandrins de se connecter à ton compte avec un simple identifiant/mot de passe, sans que tu ne le saches...

Je cite LCL, mais c'est pas la seule banque à avoir fait ça. Il y a SG, BNP, ...

avatar Oracle | 

@geooooooooffrey

Pour une banque, contrairement aux mails/clouds/RS, le bénéfice / complexité du contrôle à chaque connexion ne se justifie pas pour moi. Par contre à l’ajout d’un RIB ou d’une saisie de gros virement, oui.

Un exemple hors sujet mais révélateur du délire dans lequel les banques se lancent parfois : j’ai 2 systèmes de génération de CB virtuel, l’un chez Fortuneo, l’autre chez Crédit Mutuel.

Fortuneo : connexion login/pass > demande carte > check SMS.

CMUT : connexion login/pass > demande carte > saisie du code avec une grille touché-coulé > besoin de validation via appli iPhone > déverrouillage FaceID téléphone > déverrouillage FaceID de l’appli CMUT > saisie d’un code de validation à 6 chiffre propre à mon iPhone.

Si l’un fait un peu faiblard, l’autre est une injustifiable artillerie lourde.

Moralité ? je fais mes cartes virtuelles sur Fortuneo et fuck les PayWeb Card du Crédit Mutuel 🤏

avatar Captain Bumper | 

@ geooooooooffrey

Euh non. Au LCL tu as un appareil dit de confiance avec identification biométrique ou code à 6 chiffres. Toutes les demandes arrivent sur cet appareil via l’application LCL : les demandes de paiements CB, les virements sur comptes externes, demandes d’ajout de nouveaux IBAN au compte, login à partir d’un nouveau périphérique… et effectivement en plus l’obligation tous les 90 jours de reconfirmer son code sur le périphérique de confiance.
Donc non valider son code ne donne pas carte blanche pendant 90 jours. Et tu peux retirer l’autorisation du périphérique de confiance à tout moment. Ou demander à bloquer le compte.

avatar geooooooooffrey | 

@Captain Bumper

« login à partir d’un nouveau périphérique » si tu parles d’un téléphone via l’app mobile, peut-être, mais sur le web, tant que tu n’es pas au delà des 90 jours, peu importe que tu ne te sois jamais connecté depuis ce navigateur, la 2FA ne sera pas déclenchée.

avatar Captain Bumper | 

@geooooooooffrey

Non c’est faux : il me le demande bien plus fréquemment que ça quand je me loggue depuis un des postes que j’utilise le moins (via le web). Ensuite pour une nouvelle connexion il me demande de valider via l’iPhone. Dire ensuite que les malandrins ont la main libre pendant 90 jours c’est aussi faux puisqu’il faut valider chaque acte (virement externe, ajout d’IBAN, modification de plafond ou de pays autorisés pour les virements).

avatar FrDakota | 

@R-APPLE-R

On va te dire qu’un gestionnaire de mots de passe est une application tierce. 😁🤪
.
Mais heureusement qu’elles n’ont pas de portes dérobées.

avatar R-APPLE-R | 

@FrDakota

Oui c’est pour ça que je dis que a un moment il faut savoir faire confiance à des entreprises réputées…
Quelle gestionnaire de mot de passe choisir ?
C’est la question ! Dn tout cas Apple elle même avait fait confiance à 1Password pour ces employés par exemple.
Après il y’a les autres qui sont open source…

https://www.macg.co/logiciels/2018/07/apple-acheterait-123-000-licences-de-1password-102941

avatar Sillage | 

En fait, ce n’est rien d’autres que du phishing.

Il n’y a aucun code malveillant, c’est l’intention qui l’est.

avatar r e m y | 

Un code qui ne fait pas ce qu'il prétend faire EST un code malveillant puisqu'il est conçu pour tromper l'utilisateur.

avatar Sillage | 

@r e m y

Ouais. Mais quand même. Il y a un code qui va farfouiller tout seul, et celui qui demande ça simplement demander d’entrée ses propres données. Dans le fond, l’un requiert des compétences, l’autre mise sur la naïveté.

Mais dans le fond c’est vrai. Un e-mail de phishing ne contient pas de code malicieux, mais est malicieux.

avatar r e m y | 

Tout comme un keylogger ne va rien farfouiller de lui-même, il se contente d'enregistrer toutes vos frappes au clavier. C'est pourtant clairement un code malveillant.

avatar Sillage | 

@r e m y

Le keylogger, il espionne en cachète. Donc en quelques sortes il va farfouiller.

Je pensais utile de relever le fait que le phishing ne joue que sur la naïveté des gens alors les “codes malicieux” vont par derrière espionner et voler des infos. Je veux dire par là que c’est deux approches totalement différentes.

Mais oui, dans ce cas, tu l’as dit juste, le code ne fait pas ce qu’il prétend faire. Une fois inséré ses identifiants, rien ne passe hormis un log des infos.

Salutations

avatar 421 | 

c’est beau tous ces pigeons/ ignorants/ abrutis/ victimes darwiniennes qui se connectent avec FB…
Pleurerons-nous ? Non!!!

avatar r e m y | 

La même arnaque pourrait utiliser "se connecter avec Apple" pour récupérer les codes d'accès aux comptes iCloud (d'ailleurs ça existe peut-être, qui sait... vu qu'Apple a laissé passer ces apps de phishing concernant FaceBook, ils ont bien pu en laisser passer d'autres récoltant d'autres codes d'accès. Il n'y a aucune raison que seul FaceBook soit concerné !)

avatar geooooooooffrey | 

Merci de ne pas mêler les volatiles et Darwin à vos propos méprisants.

avatar milka | 

Ahahahah qui Connect une app a Facebook ? 😂😂

avatar debione | 

@milka:

Ahahahahah, qui connect un truc avec "se connecter à Apple"?

avatar r e m y | 

Ceux qui utilisent FaceBook pour leurs campagnes marketing (et dont il semble que ce soient eux qui aient été les principales cibles sur iOS). Il faut bien qu'ils se connectent à leur compte FaceBook pour faire l'analyse des données collectées par FaceBook.

avatar pasc75 | 

Déjà l’appli Facebook est une hérésie. Un tout petit peu plus poussif mais qui fonctionne très bien par le web direct. Depuis que je me connecte pour les deux trois trucs que je surveille sur FB et insta via web et lappli DuckDuckGo, je remarque que les pub sont carrément mal ciblées et même quand je surfe via Firefox (duck est uniquement pour les deux sites) les liens proposés ont beaucoup évolué et ciblent un peu au pif.

avatar mk3d | 

Ah les vpn… et pourtant, on continue à en faire plein de pub..

CONNEXION UTILISATEUR