Alerte : une vulnérabilité dans une appli Facebook

Après la polémique autour de la publicité comportemantale et de l’élection du vrai faux président monde de Facebook, la plate-forme de socialisation doit à nouveau faire face à un problème de taille. L’éditeur Fortinet, vient en effet de découvrir une vulnérabilité importante. Les utilisateurs doivent se méfier de l’application « Secret Crush! »

Selon les chercheurs de ce spécialiste des menaces en ligne, le widget malveillant se propage rapidement au sein de la communauté des utilisateurs du réseau social .

Le widget qui se présente sous la forme d’une requête intitulée ‘Secret Crush‘ invite l’utilisateur à découvrir qui, parmi ses amis, pourrait bien lui vouer un amour secret.

Tel un ver social, ce widget pousse l’utilisateur à télécharger sans le savoir l’application illicite d’adware et de spyware Zango et à transmettre cette application malveillante à cinq de ses amis.

Ceux qui ont essaimé le programme au sein de Facebook y trouvent un intérêt financier puisqu’ils sont récompensés sur la base du nombre total de clics.

Le widget serait déjà utilisé par 3 % des membres de la communauté Facebook, ce qui représente plus d’un million d’utilisateurs…

Cela démontre non seulement l’efficacité de la stratégie de propagation adoptée par le widget mais aussi le formidable levier de diffusion qu’offre une base de contacts aussi importante que Facebook.

Dangereux Widgets cherche site disponible…

Le risque associé à Facebook est dénoncé depuis longtemps par les experts en sécurité. Les utilisateurs donnent des informations personnelles très utiles pour les cybercriminels, des noms des photos des adresses mails valides etc… Qui plus est il est impossible de fermer totalement sont compte lors du désabonnement, ce dernier est simplement désactivé.

Et quand Facebook joue à Google cela inquiète ! Les internautes ont le droit d’obtenir des réponses. Pourquoi ces données sont conservées ? Comment le sont-elles ? Quel est le niveau de sécurité du site physique de stockage ?

Il y a seulement un mois, Richard Stiennon, Chief Marketing Officer de Fortinet, avait prédit la poussée des « widgets malveillants sur Facebook », dans le cadre de ses prévisions pour l’année 2008.

Pour un autre éditeur, le britannique Finjan, tous les différents types de ‘widgets’ (OS, et web widgets) souffrent de vulnérabilités. Certains widgets vulnérables sont déjà utilisés par des sites Web et en 2007 Microsoft et Yahoo ont publié des bulletins de sécurité corrigeant certaines de ces vulnérabilités.

« Les Widgets sont de plus en plus utilisés. Du coup le problème de leur niveau de sécurité se pose de plus en plus souvent » nous expliquait récemment Yuval Ben-Itzhak,CTO de Finjan.

« Les failles de sécurité repérées permettent aux attaquants de prendre le contrôle des machines. Ces attaques peuvent avoir de dramatiques conséquences pour l’industrie. Les sociétés qui travaillent sur le Net doivent prendre en compte ce nouveau danger.  »