Facebook tente d’étouffer dans l’œuf un nouveau ver de réseau social qui se propage via une application conçue pour fonctionner de manière transparente en tant que plug-in sur plusieurs navigateurs et systèmes d’exploitation. Dans une tournure étrange, l’auteur du programme fait peu pour cacher son identité et prétend que ses « utilisateurs » tirent en fait un avantage de sécurité de l’installation du logiciel.
Il s’agit d’un programme que l’auteur appelle « LilyJade”, un plugin de navigateur qui utilise Crossrider un cadre de programmation émergent conçu pour simplifier le processus d’écriture de plugins qui s’exécuteront sur Google Chrome, Internet Exploreret MozillaFirefox. Le plugin se propage en publiant un lien vers une vidéo sur le mur Facebook d’un utilisateur, et les amis qui suivent le lien sont informés qu’ils doivent accepter l’installation du plugin afin de visionner la vidéo. Les utilisateurs qui installent LilyJade verront leurs comptes modifiés pour publier périodiquement des liens qui aident à pimper le programme.
L’objectif de LilyJade est de remplacer le code qui spécifie qui doit être payé lorsque les utilisateurs cliquent sur des publicités diffusées sur les principales propriétés Internet, telles que Facebook.com, Yahoo.com, Youtube.com, Bing.com, Google.com et MSN.com. En bref, le plug-in permet aux clients d’échanger leurs propres annonces sur pratiquement tous les sites visités par les utilisateurs.
J’ai lu pour la première fois sur LilyJade dans une analyse publié plus tôt ce mois-ci par la société de sécurité russe Laboratoires Kasperskyet a rapidement reconnu l’arrière-plan de la capture d’écran incluse dans cet article comme appartenant à l’utilisateur de hackforums.net. Il s’agit d’une communauté de piratage en ligne relativement ouverte qui est souvent ridiculisée par des forums clandestins plus élitistes et établis, car elle compte plus que sa part d’adolescents pirates débutants (alias « script kiddies ») qui sont impatients de percer sur la scène, d’impressionner leurs pairs, et gagner de l’argent.
Il s’avère que l’utilisateur de Hackforums qui vend ce plugin le fait ouvertement en utilisant son vrai nom. Hacker basé à Phoenix, Arizona Dr Mundorff vend le plugin LilyJade pour 1 000 $ aux autres membres de Hackforums. Mundorff, 29 ans, dit qu’il ne s’inquiète pas de la légalité de son offrande ; il a même fait signer par son avocat les conditions d’utilisation que chaque utilisateur doit accepter avant de l’installer.
« Nous ne forçons aucun utilisateur à être contourné, exploité ou quoi que ce soit du genre », a déclaré Mundorff lors d’un entretien téléphonique. « À ce stade, s’ils sont d’accord, cela nous permettra de publier des messages sur leur mur via notre système. »
Mundorff affirme que son logiciel est en fait un avantage pour Facebook et la communauté Internet dans son ensemble, car il est conçu pour supprimer également les infections de certains des programmes de robots et de chevaux de Troie les plus populaires actuellement en vente sur Hackforums, y compris Sombrecomète, Cybergate, Nuances noires et Andromède (ce dernier étant un concurrent du voleur de mot de passe Cheval de Troie ZeuS qui se cache derrière les commentaires Facebook). Mundorff soutient que son plugin se traduira par une expérience positive pour l’utilisateur moyen de Facebook, bien qu’il reconnaisse que les clients qui achètent LilyJade peuvent modifier à volonté le lien que les « utilisateurs » sont obligés de diffuser, et peuvent à tout moment échanger des liens vers des logiciels malveillants. ou exploiter des sites.
Un panneau administratif LilyJade
Des dizaines de clients qui ont acheté ou essayé LilyJade ont publié des statistiques sur les Hackforums qui prétendent montrer que le plugin se propage de manière virale à des dizaines de milliers d’utilisateurs par jour. Selon Mundorff, les clients qui utilisent le système peuvent s’attendre à gagner environ 50 cents par heure pour 100 utilisateurs qui installent le plugin.
Il est impossible de vérifier ces chiffres ou de dire exactement combien d’utilisateurs de Facebook ont installé ce plugin de navigateur. Mais le plugin a apparemment eu suffisamment de succès pour attirer l’attention de l’équipe de sécurité de Facebook, qui a envoyé plus tôt cette semaine à Mundorff une ordonnance de cesser et de s’abstenir lui demandant de cesser de vendre le programme.
« Les plugins tels que LilyJade sont configurés pour modifier notre [site] pour injecter des publicités et/ou envoyer des spams via Facebook aux amis de la victime via des publications sur le mur et des messages de chat », a déclaré Fred Wolens, responsable des politiques publiques chez Facebook. « Ces modifications modifient considérablement l’expérience Facebook des utilisateurs et contournent les contrôles de qualité et de sécurité de Facebook. De plus, des programmes comme LilyJade peuvent ralentir Facebook, semer la confusion chez les utilisateurs et peuvent obscurcir le contenu des utilisateurs authentifiés en affichant des bannières publicitaires.
Dans une conversation de suivi par message instantané, Mundorff a indiqué qu’il n’avait pas l’intention de se plier aux exigences de Facebook.
« Je leur ai presque dit d’aller se faire foutre parce qu’on ne peut pas poster sur qui que ce soit [sic] murs avec là-bas [sic] autorisations automatisées ou non », a déclaré Mundorff. « Pour qu’ils puissent aller en enfer. »
Reste à savoir qui l’emportera dans cette bataille désormais publique (qui, selon Mundorff, a depuis suscité l’intérêt du collectif de hackers anarchiques Anonyme). Je voulais attirer l’attention sur ce sujet car je pense que LilyJade est probablement le précurseur d’un flux de plugins malveillants multi-navigateurs auxquels nous pouvons nous attendre dans les mois et les années à venir.
Les menaces basées sur des plugins semblent être particulièrement pernicieuses car elles fonctionnent de manière transparente sur plusieurs systèmes d’exploitation et navigateurs, et il est peu probable qu’elles soient détectées comme malveillantes par un logiciel antivirus. De plus, écrire des plugins malveillants pour différents navigateurs n’a jamais été aussi simple : Kango un environnement de développement de plugins multi-navigateurs en plein essor qui est en concurrence avec Crossrider, prend en charge les plugins sur encore plus de navigateurs, y compris Opéra et Safari.
Le but de cet article n’est pas de semer l’alarme sur des plateformes de développement légitimes comme Crossrider et Kango, ni même de dissuader les gens d’utiliser Facebook. Il est également vrai que les plugins de navigateur malveillants ne sont pas un problème nouveau et qu’ils peuvent se propager aussi facilement sur Facebook que sur Twitter, Pinterest ou toute autre communauté où des millions d’utilisateurs se rassemblent pour partager des informations. Je voulais plutôt rappeler aux lecteurs que même si les logiciels malveillants modernes peuvent prendre de nombreuses formes, il réussit le plus souvent parce que les utilisateurs d’ordinateurs acceptent de l’installer sous une forme ou une autre.
En cas de doute, tenez toujours compte de la règle n°1 des 3 règles de base pour la sécurité en ligne de breachtrace: « Si vous n’êtes pas allé le chercher, ne l’installez pas ! » L’observation religieuse de ces conseils vous protégera probablement d’un énorme pourcentage des menaces de logiciels malveillants qui existent aujourd’hui.