400 applications du Play Store et de l’App Store requéraient une connexion à votre compte Facebook pour fonctionner. Elles volaient en réalité les identifiants et mots de passe.
Meta, maison mère de Facebook, a communiqué être sur le point d’avertir près d’un million d’utilisateurs que leurs informations d’identification, comprenant les noms d’utilisateurs et les mots de passe, ont pu être compromises.
Des apps d’apparence banale… qui demandent une connexion à Facebook
Le groupe américain fait savoir qu’il a identifié plus de 400 applications Android et iOS malveillantes. Disponibles sur les magasins officiels Play Store et App Store, elles ont été développées dans le but de voler les identifiants de connexion des compte Facebook de leurs utilisateurs.
Ces applications prennent plusieurs formes : jeux mobiles, éditeurs de photos, apps de suivi de santé… Des services populaires qui peuvent être téléchargés et installés massivement. Pour débloquer ses fonctionnalités et y accéder, l’app exige alors de l’utilisateur qu’il se connecte à son compte Facebook.
« Les cybercriminels savent à quel point ces types d’applications sont populaires, et ils en profitent pour tromper les gens et voler leurs comptes et leurs informations », a commenté David Agranovich, responsable au sein de Meta.
45 apps de l’App Store, 355 du Play Store
Meta a prévenu Google et Apple pour qu’une suppression des applications malveillantes soit réalisée. À ce jour, toutes ont été retirées des deux magasins d’applications, assurent les deux firmes. La marque à la pomme précise que sur les 400 applications problématiques remontées par Meta, 45 provenaient de son App Store, ce qui en laisse donc 355 pour le Play Store.
« Si une application promet quelque chose de trop beau pour être vrai, comme des fonctionnalités inédites sur une plateforme ou un réseau social, il y a de fortes chances qu’elle ait des arrière-pensées », rappelle David Agranovich, qui exhorte à la vigilance.
Le cadre ajoute que Meta va faire de la prévention et octroyer des conseils aux victimes potentielles du vol de données pour éviter de voir leurs mots de passe divulgués à l’avenir, que ce soit pour Facebook ou d’autres services. Il précise que toutes les personnes qui seront contactées n’ont pas forcément leur mot de passe compromis, et que la fuite d’informations s’est produite en dehors des systèmes de Meta.
Bloomberg