Sur Facebook, les liens permettant de contrôler la page d'une personne ne devraient pas diminuer cette année. Une fraude qui encourage les internautes à se méfier ensuite des opérations marketing, même réelles.

Tous les jours, 220 millions de posts et de messages contenant des liens frauduleux sont bloqués sur Facebook, constate CommTouch dans un rapport sur les attaques et escroqueries ayant eu lieu sur le réseau social au cours de l’année écoulée. Les trois quarts de ces liens se présentent comme des opérations marketing, tels de fausses affiliations, de faux questionnaires à remplir pour obtenir des cadeaux. De quoi entamer la confiance des utilisateurs, déjà rétifs au marketing, à la publicité et au commerce sur Facebook. La (fausse) promesse de se faire envoyer des iPhone, des iPod, une carte de réduction et autre tablette numérique dépasse de loin la propagation de fausses informations ou de fausses chaînes d’entraide par lesquelles les utilisateurs font circuler inutilement un message d’alerte sur le réseau. Des attaques plus nuisibles comme l’affichage d’images pornographiques ou violente, ou la diffusion de virus, ne comptent « que » pour 7% des escroqueries sur Facebook.

Les dangers du clics et du partage de contenu

Les attaques reposent sur l’ingénierie sociale, mode opératoire connu mais particulièrement adapté à Facebook : il s’agit de pousser l’internaute à déclencher lui-même ses propres problèmes. Généralement, l’utilisateur reçoit un message faisant miroiter un article gratuit, affichant une actualité sensationnelle, une vidéo ou un lien « à voir à tout prix » (la technique la plus efficace en 2011, avec 36% des attaques) ou présentant une application pour savoir qui a parcouru votre page Facebook. L’internaute sera tenté de cliquer et dans certains cas de partager le contenu. Parfois, le fait de cliquer sur une vidéo entraîne automatiquement l’ajout d’un « like », avec pour conséquence de convaincre d’autres utilisateurs de cliquer sur la vidéo et ainsi de suite. Résultat : les publicités autour de la vidéo vont générer plus de revenus. En 2011, 52% du nombre de clics sur « J’aime » ou « Partager » ont été générés frauduleusement.

Rester vigilant et méfiant

Plus grave : les attaques par XSS (ou cross site scripting). L’internaute doit copier-coller dans la barre d’adresse de son navigateur une URL reçue par Facebook. Or, elle contient un code malicieux qui permet à un tiers de contrôler la page Facebook de cet utilisateur. Ce système entraîne par exemple l’affichage de posts sur la page recommandant d’aller voir tel ou tel site. En 2011, ce type d’attaque a été le moins répandu (12%). Pour CommTouch, Facebook va continuer à être un terrain de jeu privilégié pour les escrocs. Il recommande donc d’être très méfiants envers les offres gratuites et les liens vers des informations sensationnalistes, de faire attention avant de cliquer sur « J’aime » ou « Partager ». Et rappelle qu’il n’existe sur Facebook aucune application vous révélant qui a visité votre page.