Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Facebook : pourquoi et comment les vidéos détournées ?

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Facebook arnarque video

Difficile de rater l’invasion de liens vidéo piégés récemment débarqués sur Facebook. Même la presse généraliste s’est emparée de l’affaire, c’est dire !

Hélas si les articles disponibles alignent consciencieusement les termes de « piège » et « spam » et s’ils n’hésitent pas à parler de codes malveillants, ils restent muets quant aux méthodes exactes utilisées par les auteurs de ces campagnes, et surtout ils ne disent rien de leurs motivations. Blagues d’adolescents ou véritable business ?

Armé d’un système virtualisé (VirtualBox / Linux / Firefox) et d’un compte Facebook jetable nous sommes donc partis explorer quelques unes de ces vidéos piégées. Objectif : mieux comprendre la technique et la motivation derrière cette pratique.

Comment ça marche

Le point de départ d’une telle arnaque est bien entendu un lien publié dans le fil d’activité d’un utilisateur de Facebook. « Untel aime …« , suivi du titre de la vidéo et d’une petite capture d’écran. La syntaxe est le plus souvent aussi enthousiaste qu’immature et la qualité de l’orthographe inversement proportionnelle à la quantité de smileys japonais présents dans le titre.

Que se passe-t-il lorsqu’un ami de notre « patient zéro » clique sur le lien afin de voir lui aussi cette vidéo ? Il est alors amené sur une page web contrôlée par les auteurs de la campagne, hors de Facebook. Il n’est pas rare que celle-ci tente d’imiter l’apparence de Facebook ou de Youtube (renommé pour l’occasion en « fbTube »). Mais il ne s’agit pas ici de phishing à proprement parler car ces pages ne cherchent pas à imiter leurs sites de référence à la perfection et elles n’exigent pas d’entrer les identifiants originaux (même si cela s’est déjà vu). L’idée semble plutôt de rassurer l’internaute en lui présentant un cadre familier.

Qu’elle ressemble à un site connu ou non, la page présentera dans tous les cas un lecteur vidéo largement visible et il n’y a plus qu’à cliquer dessus pour lire la séquence. Serait-ce vraiment aussi simple ? Non, bien sûr !

Dans la totalité des cas que nous avons observés le lecteur vidéo est un faux. Il ne s’agit que d’une ou plusieurs images assemblées pour ressembler à un lecteur Flash traditionnel. Chose qu’une judicieuse utilisation du plugin Firebug révèle d’ailleurs sans difficulté.

Il n’en faut bien entendu guère plus pour attiser notre curiosité ! Allons donc voir le code source pour mieux comprendre l’utilité d’un faux lecteur quand le but est pourtant de diffuser une vraie vidéo. Mais la première tentative pour inspecter le source révèle une surprise : l’usage du clic droit est très souvent désactivé par la page. Bien entendu il ne s’agit pas là d’une protection efficace, mais cela prouve que les auteurs n’ont pas envie que l’on vienne trop facilement jeter un oeil en coulisses. L’utilitaire cURL (en ligne de commande) permet toutefois d’accéder facilement au code source (la désactivation provisoire de Javascript n’est pas toujours une solution efficace dans ce cas, car certaines pages détectent l’absence de support de Javascript et redirigent alors le navigateur vers une page expliquant… comment l’activer !).

Première observation à l’analyse d’une douzaine de pages d’arnaque de ce type : leurs créateurs maîtrisent suffisamment l’API de Facebook pour prendre la peine d’utiliser OpenGraph, et ainsi bien référencer leur page au sein du réseau social. Seconde observation : la majorité de ces pages ne contiennent quasiment rien, et certainement pas une vidéo. On y trouve les entêtes OpenGraph, les images du faux lecteur et un unique bout de Javascript, toujours protégé par une technique d’assombrissement du code (« obfusqué« ). Les auteurs cherchent décidément à éviter que l’on mette le nez dans leur petits secrets.

Exemple de code Javascript "obfusqué"

Le degré d’obfuscation rencontré jusqu’à présent n’est toutefois pas très élevé (utilisation de tableaux, conversion en hexadécimal et instruction « eval« ) et le code peut donc être rapidement déchiffré. Les détails de son fonctionnement diffèrent d’une page à l’autre, mais l’objectif demeure identique : s’assurer que le prochain clic de l’internaute – qui pensera probablement cliquer pour lire la vidéo – soit en réalité silencieusement transmis à Facebook et interprété à son insu comme un vote pour la page (un « Like » dans le langage de Facebook). C’est cet événement qui provoque ensuite l’affichage, dans le fil d’activité de la victime, du message qui indique qu’elle a aimé cette vidéo. Et qui attirera bien entendu certainement de nouveaux gogos.

Côté technique l’on retrouve ici un usage immodéré de la balise HTML DIV, des cadres (iframes) et de l’attribut display=none de CSS. Tout est fait pour cacher les ficelles de l’arnaque. Particularité originale de toutes ces attaques : le code Javascript fait en sorte de suivre avec précision le pointeur de la souris et d’y maintenir en permanence le lien (invisible) vers le script de « Like » de Facebook. Il n’est donc même pas nécessaire de cliquer précisément sur le faux lecteur vidéo pour tomber dans le panneau !

Une fois l’action de « Like » effectuée (autrement dit, une fois le clic de l’utilisateur détourné – on parle de « Likejacking« ), certaines pages renvoient alors directement vers la vidéo promise. Car celle-ci se trouve en réalité le plus souvent sur un site public tel Youtube ou Dailymotion et elle n’a rien d’exclusif. Toutes les séquences peuvent d’ailleurs être vues directement sur le site d’origine, par exemple en entrant leur titre dans leur moteur de recherche.

D’autres imposent en revanche une étape supplémentaire : remplir un sondage (« pour prouver que vous êtes un humain« , tente même de justifier non sans culot l’une des pages que nous avons visitées). Mais en fait de preuve, il s’agit surtout pour l’auteur de toucher une commission supplémentaire à chaque fois qu’un questionnaire est rempli, comme nous le verrons bientôt.

Pourquoi faire ?

Pourquoi s’embêter à « habiller » ainsi une simple vidéo trouvée sur Youtube plutôt que d’en partager simplement le lien ?

Pour de l’argent, essentiellement. Car si les cassandres des éditeurs d’antivirus mettent évidemment en garde contre des pages infectieuses, nous n’en n’avons pas rencontré lors de notre exploration. Aucune des page piégées que nous avons analysées n’a tenté d’installer un code malveillant lors de notre visite. Bien entendu rien ne s’y oppose techniquement, et cela doit même très certainement exister. Mais la première motivation des auteurs de ces campagnes semble être de gagner de l’argent avec la publicité. Il s’agit donc concrétement d’attirer le plus de visiteurs possibles via la propagation frauduleuse du lien sur Facebook et d’encaisser ensuite les revenus des publicités placées sur les pages.

Dans le plus simple des cas que nous avons observé les auteurs étaient presque honnêtes : ils se contentaient d’intégrer directement et réellement une vidéo de Dailymotion et ils affichaient sur leur page des publicités Adsense de Google. Mais dans les cas les plus complexes les pages sont affiliées à de véritables régies publicitaires (Adscendmedia ou Leadbolt par exemple). Ce sont elles qui fournissent notamment les questionnaires en ligne que l’utilisateur doit parfois remplir avant d’avoir droit à sa vidéo. A priori le questionnaire rapporte plus que l’affichage d’une simple bannière publicitaire.

Enfin un cas particulier permet de mieux comprendre l’intérêt financier de la manoeuvre. La régie publicitaire utilisée par l’auteur de l’arnaque cible exclusivement les utilisateurs de Facebook. Elle leur promet de l’argent en échange de la publication de messages publicitaires sur le mur de leur profil ou de leur page de fan. Il faut avoir au moins 250 amis (ou fans) pour participer. L’utilisateur fixe lui-même le tarif qu’il souhaite obtenir pour chaque statut publicitaire qu’il diffuse (de 1£ à 50£), et la régie lui propose des messages en provenance des annonceurs affiliés, qu’il est libre de partager ou non (il en coûte environ 25£ par mois à l’annonceur, en plus du coût de la diffusion).

Bien entendu plus une page aura de fans (autrement dit, de victimes ayant « aimé » la page malgré elles à la suite d’une telle arnaque), plus son propriétaire sera en mesure de gagner de l’argent avec un tel système.

Et de l’argent, les auteurs en gagnent probablement : les pages que nous avons rencontrées étaient récentes et elles affichaient pourtant entre trente et cinquante mille « Like » (une statistique vérifiable en appelant directement le script de « Like » officiel, caché).

Que fait la police Facebook ?

La pratique du Likejacking n’a rien de neuf : dès le printemps 2010 la presse spécialisée y faisait déjà référence. La toute récente déferlante de vidéos piégées, presque un an plus tard, montre que Facebook n’a trouvé aucune parade efficace à ce jour. Entre temps certains éditeurs d’antivirus proposent toutefois des applications – souvent gratuites – capables d’analyser les liens publiés sur votre mur par vos amis. Cela permettra au moins de ne pas propager malgré vous des liens piégés. Pour le reste, les principaux éditeurs d’antivirus détectent désormais la technique du Likejacking avec leur solution pour le poste de travail, ce qui devrait éviter de tomber dans le panneau (nous n’avons cependant pas fait le test). Par ailleurs le service de redirection d’URL Bit.ly semble détecter aussi les liens de destination pièges (nous avons étés avertis à l’occasion d’une redirection).

Et pourtant, malgré tous ces acteurs capables de donner l’alerte, les compteurs des pages piégées continuent à grimper. Désespérant, non ?

Et si vous avez cliqué par mégarde ?

Si vous avez cliqué par mégarde sur l’une de ces fausses vidéo, vous voilà avec un message potentiellement humiliant sur votre mur Facebook (ne vous voilez pas la face : vous êtes probablement passé pour un naïf aux yeux de la majorité de vos amis !). Fort heureusement il est toujours temps de réparer ça ! La technique implique non seulement de retirer l’annonce de votre fil d’activité mais également de ne plus « aimer » la page en question (et, au passage, de la signaler à Facebook afin qu’elle puisse être retirée). Ce vous semble complexe ? Ne craignez rien, le détail de la procédure est expliqué par notre confrère 01net Pro, et en images s’il vous-plaît !


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Une réponse à Facebook : pourquoi et comment les vidéos détournées ?

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.