Meta a identifié plus de 400 applications malveillantes, conçues dans le but de dérober des identifiants de connexion à Facebook. Un million de personnes ont téléchargé ces applications.

« Nous avons identifié plus de 400 applications Android et iOS malveillantes qui ciblent des personnes sur Internet pour voler leurs informations de connexion à Facebook. » Voici le constat, relayé par l’AFP, qu’a publié Meta, la maison mère de Facebook, le 7 octobre 2022.

Le groupe estime qu’un million d’utilisateurs du réseau social a déjà téléchargé ou utilisé ces apps présentées comme inoffensives, mais en réalité destinées au vol de mots de passe. Il faut cependant garder à l’esprit que cela ne veut pas forcément dire que ces 1 million de personnes ont nécessairement été piratées et que leur mot de passe a été compromis, comme on a pu le lire.

Des éditeurs de photos, services de VPN ou utilitaires factices

De quel genre d’application s’agit-il ? « Ces applications étaient répertoriées sur le Play Store de Google et l’App Store d’Apple et se présentaient comme des éditeurs de photos, des services VPN, des applications professionnelles et d’autres utilitaires pour inciter les gens à les télécharger », résume Meta dans son communiqué. Dans la liste, on trouve, par exemple, des applications de lampe de poche, des apps d’horoscope ou de fitness. Les apps présentées comme des éditeurs de photos représentent à elles seules 42 % des applications malveillantes identifiées par Meta.

Exemples d'apps malveillantes. // Source : Meta / Canva
Exemples d’apps malveillantes. // Source : Meta / Canva

À l’installation de ces applications, les internautes étaient invités à se connecter avec leur compte Facebook. Cette étape donnait l’impression d’être un prérequis pour pouvoir ensuite accéder au service promis. Cependant, le partage de ces informations permettait en réalité au logiciel malveillant de récupérer les identifiants de connexion.

Les apps malveillantes ont été supprimées des stores

Normalement, vous ne devriez plus retrouver ces applications dans le store de votre smartphone. Méta précise avoir « signalé ces applications malveillantes à [ses] homologues d’Apple et de Google et elles ont été retirées de deux boutiques d’applications avant la publication de ce rapport. » Évidemment, nous ne sommes pas à l’abri que d’autres applications semblables existent encore, ou que leurs créateurs les remettent en ligne sous d’autres noms. C’est pourquoi il est recommandé de rester prudent et de scruter quelques éléments lorsque l’on télécharge une nouvelle app exigeant une connexion à l’aide d’un compte Facebook.

Par exemple, si l’app est inutilisable si vous ne donnez pas vos identifiants Facebook, cela peut être une raison de s’en méfier. Pensez aussi à jeter un œil dans les commentaires sur le store, pour juger de la réputation du service. Vérifiez aussi si l’app fournit bien les fonctionnalités promises.

Que faire si vous avez donné votre mot de passe Facebook à une app malveillante ?

Que faire si vous pensez avoir utilisé une application malveillante, en utilisant vos identifiants Facebook (ou ceux d’autres réseaux sociaux) ? Meta conseille :

La liste des applications malveillantes repérées par Meta sur iOS et Android est accessible à la fin du communiqué publié par le groupe.