Tech

Le ver Ramnit dérobe les identifiants de 45.000 comptes Facebook

ActualitéClassé sous :Internet , Sécurité , virus

Ce sont 45.000 identifiants de comptes Facebook qui ont été dérobés et qui pourraient être utilisés pour diffuser le ver Ramnit sur les profils des « amis » de ces utilisateurs. Très coriace, ce ver représentait déjà plus de 17 % des infections cet été. Les utilisateurs ayant tendance à n'employer qu'un seul mot de passe pour tous leurs services Internet, les pirates pourraient en profiter pour accéder aux informations personnelles des individus et des institutions. 

Capture d'écran de la console de gestion de Ramnit avec le fichiers comportant les identifiants de comptes Facebook. © Seculert

Les techniciens du laboratoire de Securlert, une société spécialisée en sécurité informatique, ont découvert une base de données de 45.000 mots de passe et identifiants d'accès à Facebook volés grâce à une variante du ver Ramnit. À noter que 69 % des comptes infectés seraient localisés en Grande-Bretagne et 27 % en France. À partir de cette base de profils, les pirates peuvent propager le ver auprès des « amis » des comptes Facebook des liens piégés pour étendre la contamination.

C'est en mai 2010 que Ramnit a été identifié pour la première fois par Microsoft. Il volait alors les logins FTP pour infecter les sites Web. Depuis 2011, il vise le monde financier en étant fusionné avec le cheval de Troie Zeus. Depuis, différentes variantes se sont propagées sur Internet. Le virus poursuit désormais sa sinistre épopée en ayant contaminé, au moins, 800.000 machines de septembre à fin décembre 2011, via des programmes, des sites Web infectés ou encore des supports amovibles (clé USB, cartes SD, disques durs, CD...). Selon un rapport de Symantec, il représentait 17,3 % de l'ensemble des malwaresdétectés l'été dernier.

Nombre de machines infectées par Ramnit entre septembre et décembre 2011. Ce chiffre oscille pratiquement jusqu’à 900.000 ordinateurs atteints. © Seculert

Toutefois, si le virus circule effectivement sur son réseau, Facebook a précisé à nos confrères de ZDNet que les identifiants récupérés par Ramnit sont majoritairement périmés et pourraient avoir été dérobés plusieurs mois auparavant. En conséquence, l'éditeur minimise l'infection en indiquant que le chiffre pourrait être diminué de moitié.

Liens Facebook : réfléchir avant de cliquer et non l’inverse

Cette division par deux est plutôt théorique car la plupart des utilisateurs adoptent souvent le même mot de passe pour tous leurs profils en ligne (Facebook, Twitter, GMail...). Quand un cybercriminel aura mis la main dessus, les dégâts peuvent être considérables... C'est pourquoi Facebook recommande également d'utiliser différents mots de passe pour les divers comptes Internet. Sachez qu'il existe des logiciels de gestion de mot de passe et que certains navigateurs, comme Firefox, incluent même cette option. Il faut alors employer un seul mot de passe général qui est le sésame pour accéder à tous les autres. Encore faut-il utiliser systématiquement la même machine...

Concrètement, lorsqu'un compte Facebook est infecté par Ramnit, des liens provenant de l'attaque sont affichés sur les profils ou envoyés via des messages privés à tous les contacts de l'utilisateur. Malheureusement, avec Facebook « tout » est « lien » et il est aisé de cliquer ici ou là. C'est pour cette raison que, pour éviter la propagation, l'éditeur du réseau social conseille depuis longtemps « de ne jamais cliquer sur des liens étranges et de communiquer toute activité suspecte découverte sur le réseau ». Toutefois, il annonce travailler avec ses partenaires pour renforcer la protection de ses systèmes antivirus.

Cela vous intéressera aussi