Meta, la maison mère de Facebook, a identifié plus de 400 applications de ce type depuis le début de l’année.
Des applications à l’apparence légitime mais qui sont loin de l’être. Ce vendredi, Meta a alerté sur la présence d’applications malveillantes conçues pour voler les mots de passe des utilisateurs de Facebook. Dans son communiqué, la maison mère du réseau social indique en avoir identifié plus de 400 sur iOS (Apple) et Android (Google). « Nous allons informer un million de personnes qu’elles ont pu être exposées à ces applis – cela ne veut pas dire nécessairement qu’elles ont été piratées », a déclaré David Agranovich, directeur des équipes de cybersécurité de Meta, lors d’une conférence de presse, rapporte l’AFP.
Disponibles sur l’App Store d’Apple et le Google Play Store, ces applications se faisaient passer pour des outils d’édition de photos, des jeux, des VPN et d’autres services comme le suivi de la santé physique. Une fois téléchargées et installées sur le smartphone, elles demandaient aux utilisateurs de « se connecter à Facebook » afin de pouvoir utiliser les fonctionnalités promises. En réalité, cela permettait à des hackers de voler leurs informations de connexion et ainsi, d’accéder à leurs comptes.
Se protéger des applications malveillantes
Ayant partagé ses découvertes avec Apple et Google, Meta affirme que ces applications malveillantes ont été retirées de l’App Store et du Play Store. Bien que les deux entreprises cherchent à détecter et à supprimer ce type d’applications, certaines arrivent à passer entre les mailles du filet et sont disponibles sur leurs boutiques. Le groupe californien précise par ailleurs que les développeurs à leur origine peuvent publier de faux avis pour dissimuler les avis négatifs des personnes ayant repéré leur nature obsolète ou malveillante et inciter les autres au téléchargement.
Si ces applications semblent légitimes, elle présentent souvent des signes révélant leur fausse nature. Meta recommande ainsi aux utilisateurs de se méfier de celles étant inutilisables sans une connexion au compte Facebook. Le groupe californien préconise également de regarder le nombre de téléchargements, les notes et les avis d’une application pour connaître sa réputation, mais aussi de vérifier si elle fournit bien les fonctionnalités promises. Pour les utilisateurs pensant avoir téléchargé l’une de ces applications malveillantes et s’être connecté à leur compte, il conseille – outre la suppression de cette dernière – de réinitialiser le mot de passe pour en choisir un fort et de ne pas utiliser le même sur plusieurs sites. Il leur recommande aussi d’activer la double authentification sur Facebook et les alertes de connexion pour être informés si une personne essaie d’accéder à leur compte.
