Les accros des réseaux sociaux ont du souci à se faire : le tagjacking est de retour et il a de nouveau franchi un cap. Vos contacts n’ont pas fini d’être spammés !
Ce n’est pas la rengaine habituelle du bon flic qui devient ripou mais plutôt celle d’une application divertissante et inoffensive qui tague tout ce qui bouge et qui vous fait passer pour un(e) serial social gamer.
Vous vous souvenez du tagjacking et de ses avatars ? Les profils de certains vos amis en portent encore les stigmates. Hé bien, il semblerait que les créateurs de cette arnaque aient amélioré leur technique et aient trouvé le moyen de s’en mettre plein les poches avec une application Facebook bien niaise.
Lors de la première vague de tagjacking, les pirates n’y sont pas allés par quatre chemins : ils exploitaient le voyeurisme de certains avec des photos de nymphettes presque dénudées. Cette fois-ci, ils jouent moins la carte de la concupiscence et ciblent une plus large et moins regardante base d’utilisateurs naïfs toujours à la recherche d’applications ludiques…
Le thème de cette appli ? Dis-moi ton nom et je te dirai qui tu es. En utilisant une thématique aussi niaise, les pirates sont assurés du succès de leur travail.
Que se passe-t-il lorsque l’on clique ?
Dois-je m’inquiéter que l’appli ait besoin d’avoir accès à mes photos et à mes vidéos ? Je devrais mais je me mets à la place d’un utilisateur lambda qui croit aussi que l’on peut savoir qui regarde son profil… alors j’autorise donc cette application à avoir accès à mon profil.
Alors on tape un prénom comme l’appli nous le demande.
Le nom devient un acronyme aux termes plutôt flatteurs (rien de plus apaisant pour l’ego de certains) mais que vient donc faire ma liste d’amis ici ? Ils ont TOUS été gentiment tagués !
Mais comment une telle merveille peut-elle être envoyée aux quatre coins du monde sans l’intervention de quiconque ? Il existe différentes variantes de cette appli, par exemple, celle qui utilise les personnages de Snoopy (je me demande si les pirates ont demandé la permission à Schulz?).
C’est embêtant mais c’est tellement fun ! Maintenant vos amis ont une bonne raison de vous détester, n’oublions pas que leurs murs seront couverts de messages annonçant fièrement l’appli un brin envahissante.
Vous voulez connaitre l’ampleur du désastre ?
Un petit rappel de l’effet boule de neige de la précédente variante du tagjacking :
AMI A (a cliqué sur le lien) -> AMI B (reçoit un message sur son mur lui indiquant qu’il a été tagué, va-t-il cliquer ou pas sur le lien ? -> AMI C* (voit le message sur le mur de B et a accès au lien malveillant bien que seul B soit concerné)
*B est un ami de A et C est un ami de B.
Pour finir, il y a certainement des applications légitimes qui font la même chose et qui s’en tiennent à cela. Mais on ne sait jamais ce qu’il advient de vos données personnelles une fois qu’elles sont dans le cloud ! Ces applis sont à fuir comme la peste car elles restent ce qui se fait de mieux en termes d’escroquerie sociale en série. Alors lisez toujours attentivement les demandes de permission de chaque application installée et surtout prêtez attention à ce qui se passe lors de l’utilisation de l’application.
Toujours est-il que vous pouvez utiliser des applications de protection comme BitDefender safego qui vous protègent des différentes variantes de clickjacking : like/tag/event/jacking.
Article réalisé grâce aux informations techniques fournies par Tudor Florescu, spécialiste BitDefender des menaces informatiques.