Un million de comptes Facebook piratés par des applications malveillantes. C’est ce que les chercheurs en sécurité de Meta ont découvert au cours de la dernière année.

Ces derniers ont identifié plus de 400 applications frauduleuses conçues pour détourner les informations d’identification des utilisateurs de comptes Facebook. Ces applications sont souvent présentées comme des services décrits comme « amusants » ou « utiles ». Il s’agit principalement d’éditeurs de photos, d’applications d’appareil photo, de services VPN, d’applications d’horoscope ou d’outils de suivi de la condition physique. Ces applications exigent que les utilisateurs se connectent avec Facebook avant de pouvoir accéder aux fonctionnalités promises. Bon nombre d’entre elles seraient à peine fonctionnelles.

La grande majorité de ces applications provient du Play Store de Google. Les chercheurs de Meta en ont également dénombré 47 sur l’App Store d’Apple — dont les noms ne sont malheureusement pas connus. Les informations relatives à cette fraude ont été transmises à Apple et à Google qui devront se charger de supprimer les applications incriminées de leur catalogue.

Le message d’alerte de Meta aux utilisateurs victimes de ce vol à grande échelle a été transmis sur l’application mobile. Si vous avez acheté des applications sur le Play Store ou sur l’App Store vous demandant de vous connecter avec votre compte Facebook et que vous n’avez pas reçu ce message, nous vous suggérons néanmoins de changer votre mot de passe. On ne sait jamais. Pour rappel, cliquez sur votre image dans le coin supérieur droit pour accéder à votre compte. Cliquez sur Paramètres et Confidentialité et sur Paramètres. Sur la page suivante, cliquez sur Sécurité et connexion pour changer votre mot de passe.

D’ailleurs, nous vous suggérons de changer vos mots de passe à intervalles réguliers. Du moins, ceux qui sont les plus susceptibles d’être convoités par des fraudeurs. Assurez-vous toujours qu’ils soient d’une bonne longueur (12 caractères ou plus) et que les informations qu’ils contiennent ne sont connues que de vous.

Pour une couche de sécurité supplémentaire, vous pouvez également activer l’authentification à deux facteurs (sur la même page que la modification du mot de passe). La méthode la plus simple demeure celle qui permet de vous identifier avec votre numéro de téléphone. En entrant votre mot de passe, Facebook enverra par texto un code d’identification que vous pourrez récupérer avec l’application Messages. Il ne vous reste qu’à entrer ce code pour terminer l’étape d’identification (si vous utilisez Safari sur le Mac, ce dernier entrera même le code pour vous dans le champ requis). Avec l’authentification à deux facteurs, la personne qui a subtilisé vos identifiants doit impérativement connaître votre numéro de téléphone — que nous vous conseillons de ne jamais laisser sur Facebook — pour accéder à votre compte. Merci à Jonathan Moreau pour ce rappel important.

Dans un prochain article, nous vous expliquerons comment stocker et sécuriser les mots de passe sur votre Mac à l’aide d’une petite astuce maison.