De nombreux adeptes de Facebook ont récemment étés mis en garde par leurs amis contre une mystérieuse application malveillante qui pourrait être active sur leur profil.

Et ils ont étés nombreux, la semaine dernière, à découvrir en effet une certaine "Unnamed App" parmi les applications ajoutées à leur profil (dont votre serviteur). Il n'en fallait bien entendu pas plus pour provoquer un effacement en masse de l'application, et crédibiliser au passage l'alerte.

Or, il n'y avait aucune raison de s'inquiéter : l'application a été créée par Facebook et elle n'est devenue visible que par erreur (elle correspond en réalité à une fonctionnalité des profils que Facebook veut supprimer). L'affaire a été rapidement réglée, comme l'indique CNN dans son édition du 27 janvier dernier.

Fin de l'histoire ? Non, plutôt début de la seconde phase. Et celle-ci est en revanche véritablement malveillante. Très vite en effet des pirates ont profité de l'affaire pour créer des sites censés expliquer ce qu'est ce fameux (faux) virus et les référencer habilement en tête des résultats de Google pour le terme "Facebook unnamed app". Et ces sites, eux, sont bel et bien malveillants : ils tentent d'infecter les visiteurs lors de leur visite, par exemple avec un faux antivirus dans l'exemple donné par PandaLabs.

L'affaire illustre la réactivité des pirates et leur maîtrise du SEO (Search Engine Optimization)  : alors même que l'événement initial n'est pas de leur fait (c'est un bug causé par Facebook), les sites arrivaient en tête de résultats d'une requête populaire en quelques jours à peine.

Pour vos programmes de sensibilisation, cette affaire offre également un autre enseignement : le premier site renvoyé par Google n'est pas toujours le plus honnête, même si l'information, elle, est vraie. Tous les événements majeurs, dates-clés et autres sont susceptibles d'être détournés de la sorte, et beaucoup l'ont étés (Haïti récemment, mais aussi les différentes catastrophes naturelles depuis le Tsunami en Indonésie, la mort de Michaël Jackson et bien d'autres actualités mondiales).

L'éducation des utilisateur passe alors par une formation critique aux choix des sources d'information. On en sortirait presque du seul cadre de la sensibilisation à la SSI...