Cyber sécurité : de fausses connexions via Facebook pour voler les mots de passe

Par Patrice Donzelot O commentaire
Cyber sécurité

Le CERT-MU met en garde les internautes mauriciens contre une nouvelle méthode que des pirates informatiques ont trouvée pour subtiliser des identifiants et mots de passe. Ils ont créé de faux messages pour permettre de se connecter à des sites Internet via Facebook.

Les pirates informatiques ne manquent pas d’imagination pour récupérer des identifiants et mots de passe. La Mauritian National Computer Security Incident Response Team (CERT-MU), l’instance en charge de la sécurité informatique à Maurice, a récemment alerté contre un nouveau moyen utilisé par des pirates pour subtiliser des données. Ils ont créé de fausses pages Internet et de faux messages (pop-ups) sur lesquelles ils proposent aux internautes de se connecter à des sites. Pour faciliter cette démarche, ils donnent la possibilité de se connecter via Facebook.

Les internautes sont invités à cliquer sur un bouton où il est indiqué « connect with Facebook ». Notons que cette option existe réellement sur des sites Internet authentiques. Mais dans le cas rapporté par CERT-MU, les utilisateurs sont redirigés vers une autre fausse page de Facebook où il leur est indiqué que leurs profils sur le réseau social ont été bloqués.

Il leur est alors demandé de se connecter en tapant leurs identifiants et mots de passe. En réalité, ils sont en train de fournir ces informations confidentielles aux pirates informatiques.

Ces derniers n’ont plus qu’à se connecter aux profils Facebook de leurs victimes.

CERT-MU conseille aux internautes mauriciens de ne pas cliquer sur des messages qui les invitent à se connecter via Facebook. Par ailleurs, l’organisation suggère d’activer la fonction d’authentification via différents moyens pour se connecter à Facebook. En effet, le réseau social propose à ses utilisateurs d’entrer un code qu’ils reçoivent par SMS lorsqu’ils se connectent à leurs profils depuis un nouvel appareil.

Ainsi, même si un pirate informatique dispose de l’identifiant et du mot de passe d’un utilisateur, il ne peut pas se connecter à son profil sans ce code. De plus, l’utilisateur est immédiatement informé quand une tierce personne tente de se connecter à son profil.