Derrière les nombreuses arnaques sur Facebook se cachent des sociétés commerciales. Et si ces dernières acceptent de payer des escrocs pour qu’ils abusent des comptes de vos amis, c’est qu’elles parviennent à gagner de l’argent dans l’affaire. Comment ? C’est ce que nous avons voulu savoir. Nous avons pour cela remonté le fil de la dernière arnaque Facebook en date. A notre surprise, l’enquête nous a mené jusqu’à une société Française filiale d’une entreprise de marketing portugaise, en passant par un hébergeur canadien et un site web iranien.

Tout commence de manière fort classique lorsque un certain nombre de nos amis se mettent à publier sur leurs murs Facebook un lien vantant un nouveau moyen de savoir qui visite son profil (« Wow, cela fonctionne vraiment! Decouvrez qui consulte votre profil!« ). Le même message est répété ad nauseam et publié également en masse sur les murs de leurs propres amis (en citant leur nom afin d’interpeler encore plus de monde).

Bien entendu il est toujours impossible de savoir qui visite votre profil Facebook, comme nous le rappelions d’ailleurs à l’occasion d’une précédente arnaque similaire. Mais nos amis en question étant loin d’être naïfs, comment ont-ils pu tomber dans le panneau ?

Une rapide exploration de leur fil d’actualité révèle un point commun entre tous ces amis-victimes : leur adhésion récente à une page communautaire baptisée « J’aime écouter de la musique« . Le spam sur leur mur a commencé peu de temps après qu’ils aient « aimé » cette page. Une visite à cette dernière montre qu’elle compte déjà plus de 216 000 fans alors qu’elle a été créée très récemment et ne publie strictement aucune information.

Armé d’un compte Facebook jetable et d’un Linux virtualisé, il est temps de devenir à notre tour « fan » de cette étrange page. Et sans grande surprise le fil d’actualité de notre compte Facebook vierge affiche les mêmes messages publicitaires quelques heures après avoir rejoint la page en question.

Notre compte Facebook vierge désormais spammé.

Suivons maintenant le lien proposé par la publicité afin de découvrir qui se cache dernière cette campagne. Celui-ci nous conduit comme d’habitude sur un site d’instructions que nous devons suivre afin de savoir qui visite notre profil. Il nous faut copier-coller un bout de texte dans le navigateur. Et c’est ici que l’arnaque se distingue des autres : ce bout de code (du javascript) n’est pas celui chargé de détourner le profil Facebook de la victime, comme c’est souvent le cas. Il en appelle un autre, servi par un script PHP situé sur un serveur hébergé au Canada (par iWeb Technologies Inc) pour le compte d’une agence web Iranienne (Tandisweb). Il s’agit probablement ici d’un piratage, et ni l’hébergeur ni Tandisweb ne sont probablement liés à l’arnaque.

La première étape : les instructions à suivre.

Le véritable script Javascript qui va s’exécuter alors est d’un calibre largement supérieur à tous ceux que nous avons pu observer lors d’attaques similaires. Il n’est pas « assombri » à l’inverse des précédents (les bons développeurs savent que cela ne sert pas à grand chose), son code est propre, commenté et bien organisé. Comble du détail, il utilise des librairies standard telles jQuery et même l’objet XMLhttpRequest afin de faire un peu d’Ajax en discutant directement avec Facebook !

Concrètement le rôle de ce script est de noyer le compte de la victime sous la publicité afin de piéger un maximum de ses amis. Et on peut dire qu’il le fait bien : tout y passe, de la publication en masse sur le mur jusqu’à la création d’événements auxquels seront invités tous les amis de la victime, en passant par des messages publicitaires en temps réel via le chat de Facebook. Le script est programmé pour traiter jusqu’à 5000 amis pour chaque compte piégé (« wait until we run out of friends to tag or meet requested number of friends walls » nous indique un commentaire dans le code).

Tout ceci se déroule tandis qu’à l’écran un message demande à l’utilisateur de patienter un instant ou, s’il ne souhaite pas patienter, de « cliquer ici« . Bien entendu il s’agit là aussi d’un subterfuge : pendant que l’utilisateur attend le script travaille à publier toute la publicité sur son profil. Et lorsque l’utilisateur en aura assez, il cliquera sur le lien pensant que quelque chose n’a pas fonctionné.

A cet instant la victime est dirigée vers l’habituel sondage censé débloquer l’historique des visites sur son compte. Afin de mieux l’appâter le fond de l’écran montre ce qui est censé être la liste des personnes ayant visité son profil. Il ne s’agit toutefois que d’une image stockée sur le site imgur.com, que vous pouvez voir ici. Rien de réel, donc, sinon une fenêtre au milieu de l’écran invitant la victime à répondre à un sondage.

Il faut accepter de répondre à un sondage... bidon, bien entendu !

Une fois que celle-ci s’exécute, le rôle de l’escroc s’arrête : il a fait son travail et envoyé un client à son commanditaire. Il sera donc payé pour chaque questionnaire rempli.

Mais pour le commanditaire en question, en revanche, le travail ne fait que commencer. Dans le cas particulier de cette arnaque, l’on arrive sur un site web qui propose de tester sa beauté ! Il suffit pour cela d’uploader une photo de soi-même au site, qui, soit disant, l’analysera. La page d’accueil se vante d’avoir déjà réalisé 15234 tests lors de notre passage, mais la valeur semble ne pas changer au fil des tests : il s’agit certainement d’une intox.

La photo est mise en ligne. L'étape suivante est là où le piège se referme.

La procédure de téléchargement de l’image et la pseudo-analyse est rapide (au passage, la victime a droit à une animation de laser vert censé analyser son visage…).

Vient ensuite la dernière phase de l’arnaque : afin de recevoir les résultats il convient de donner son numéro de téléphone mobile. Et là, mieux vaut lire les petits caractères en bas de page : « Service d’abonnement. Inscription en 2 SMS. 3E par SMS reçu. Réception d’ 1 SMS par semaine. Désabonnement : envoyez STOP au 88787. Coût de l’envoi d’un SMS au 88787 : prix d’un SMS normal« .

Autrement dit, une fois son numéro de téléphone mobile entré, la victime paiera 3 € par SMS reçu de la part de l’éditeur du service ! Si l’on compte 2 SMS pour « l’inscription » et un premier SMS pour les résultats, ce sont déjà 9 euros de perdus. Le site prélèvera ensuite au moins 3 euros par semaine, s’il respecte bien entendu son engagement de n’envoyer qu’un SMS par semaine. Le service s’appelle « Club Natta« , et une rapide recherche sur le web montre que des internautes se sont déjà fait avoir…

Le piège : une fois le numéro de mobile communiqué, il en coûtera 3 euros par semaine à la victime.

L’éditeur de ce service est la société Télécom Interactive Marketing World of Entertainment France SAS (TIMWE), domiciliée dans le dixième arrondissement de Paris. Il s’agit de la filiale d’une société portugaise (TIMWE) basée à Lisbonne. Cette dernière offre des services de marketing mobile et prend en charge l’envoi des SMS (toutefois la facturation peut également se faire via le service de micro-paiement sur mobile W-HA).

Pendant tout ce temps, la victime n’a bien entendu toujours pas vu « qui visite son profil Facebook ». La page initiale demeure floutée et indique être en attente de la fin du sondage, qui a lieu sur une autre page de son navigateur. Tant que la victime n’aura pas entré de numéro de téléphone valide à la fin du sondage il lui sera impossible d’accéder à la suite de l’opération.

Nous n’avons bien entendu pas communiqué de numéro de téléphone mobile afin de découvrir le fin mot de l’histoire. Mais cela ne nous empêche pas d’essayer de découvrir le pot aux roses. La page en question est affiliée à la régie publicitaire américaine CPAlead, basée à Las Vegas. Celle-ci n’hésite pas à déployer des techniques de dissimulation sophistiquées afin de s’assurer que l’on ne puisse « débloquer » la suite de l’opération sans passer par la case sondage !

Plusieurs codes Javascript chiffrés (relativement simples à déchiffrer) sont à l’oeuvre. L’un d’eux exporte notamment des données de configuration au format JSON tandis qu’un autre contient uniquement la logique du traitement, et il va chercher ses données dans le script précédent. Il faut donc avoir déchiffré les deux codes et reconstitué les URL de callback à la main pour espérer tromper la régie publicitaire. L’analyse préliminaire du code semble indiquer qu’une fois le numéro de téléphone fourni la régie exige de l’utilisateur qu’il saisisse son adresse email (il n’y a pas de petit profit !) avant d’être dirigé vers une adresse de téléchargement d’un « contenu premium » inconnu. Peu importe que du côté de TIMWE l’on exige déjà un numéro de GSM pour faire parvenir les résultats du sondage, et que l’utilisateur n’ait jamais demandé de « contenu premium »… A ce stade les escrocs ne sont plus à une incohérence près et tout est bon pour abuser jusqu’au bout l’internaute crédule qui est arrivé jusque là.

Quel est ce mystérieux « contenu premium » ? Nous ne le saurons malheureusement pas : il semble que le client de la régie (ici TIMWE) doive valider l’adresse IP de la victime une fois le sondage terminé (et donc le numéro de téléphone mobile communiqué) afin que celle-ci puisse accéder au lien de téléchargement. Et bien entendu, il n’est pas question pour nous de fournir un quelconque numéro, au risque d’abonner malgré lui un inconnu ! Notre tentative d’atteindre directement le fameux lien de téléchargement, même correctement déchiffré et reconstitué, s’est donc soldé par un laconique « Your download has expired for your IP address« .

Toutefois les escrocs mentionnent en bas de page un plugin pour Firefox, baptisé iFameBook et destiné, justement, à découvrir qui visite son profil Facebook. Et il est fort possible que ce soit lui qui sera proposé à la fin de l’opération (bien que son auteur n’ait probablement rien à voir avec cette arnaque). Où est donc le piège ? Cela ne fonctionne qu’avec les utilisateurs de Facebook qui ont eux aussi installé ce plugin. C’est à dire pas grand monde !

Pour résumer, les grands acteurs de cette escroquerie s’organisent ainsi :

• Un pirate inconnu, qui crée une page Facebook afin de fédérer le plus grand nombre d’utilisateurs possible (« J’aime écouter de la musique » ou, dernièrement « Qui consulte mon profil Fonctionne (2011) ». Qui est-il ? Le dernier groupe mentionne le site fbprofil.com, dont le nom de domaine aurait été déposé chez OVH par un certain Majid Loudahi, déjà propriétaire d’un site de vidéo pornographiques. Mais la piste s’arrête là.
• Un hébergeur probablement piraté : iWeb Technologies Inc, et son client dont le site web sert à héberger les pages piégées (l’iranien TandisWeb).
• Une régie de publicité en ligne américaine, CPAlead, qui fournit l’infrastructure nécessaire et agit comme intermédiaire entre le pirate et le client.
• Un client qui a des services à vendre aux victimes de l’arnaque. C’est la société TIMWE France, dont les pratiques commerciales sont, à défaut d’être illégales, pas franchement morales.
• L’auteur du plugin iFameBook, qui n’est probablement pas au courant de cette affaire.

L’iconographie ci-dessous résume le mécanisme de cette arnaque et ses acteurs.

Les liens entre les acteurs de la dernière arnaque Facebook en date.