● 01net 📅 05/05/2026 à 09:45

Cette cyberattaque « mondiale » a piraté 30 000 comptes Facebook, mais le hacker a fait une grosse erreur

Cybersécurité 👤 Florian Bayard
Illustration
© Unsplash Des pirates vietnamiens ont détourné les outils de Google pour voler 30 000 comptes Facebook à travers le monde. Pour appâter les victimes, les hackers prétextent des violations de droits d’auteur ou un compte qui sera bientôt suspendu. Des chercheurs en sécurité de Guardio Labs ont découvert une vaste opération malveillante, baptisée « AccountDumpling ». La cyberattaque commence par la réception d’un e-mail d’urgence, indiquant que « votre compte Facebook a été signalé pour violation de politique » et que « sans réponse sous 24 heures, il sera définitivement désactivé ». Ce mail s’affiche dans votre boîte principale en contournant les filtres de spams de votre messagerie. Comme le soulignent les chercheurs, le mail provient des serveurs de Google. En fait, les pirates ont exploité Google AppSheet, un outil officiel de Google permettant de créer des applications sans coder, pour envoyer des mails depuis un serveur du groupe. L’outil dispose en effet d’un système de notifications qui envoie des e-mails depuis l’adresse « [email protected] », directement par le biais des serveurs de Google. En utilisant ce service légitime, les pirates parviennent à envoyer des mails qui passent sans le moindre problème les contrôles de sécurité des messageries. Aux yeux des filtres antispam, « ces messages sont traités comme des communications de confiance », expliquent les chercheurs de MalwareBytes, qui relaient la découverte de Guardio Labs. À lire aussi : Une cyberattaque russe a compromis des centaines de comptes Signal Fausses pages Facebook et PDG piégé sur Google Drive Dans la plupart des cas, les mails contiennent des alertes pour violation de droits d’auteur, une suspension de compte, ou une désactivation imminente. Si la victime commet l’erreur de cliquer sur le lien glissé dans le mail, elle tombe sur une page web frauduleuse qui copie le Centre d’aide Facebook, hébergée sur Netlify, une plateforme d’hébergement web légitime. Sans surprise, la fausse page ne va pas tarder à réclamer les identifiants du compte Facebook, dont le mot de passe. Dans la foulée, les pirates demandent aussi la date de naissance, le numéro de téléphone et des photos de carte d’identité. Avec toutes ces données, il est possible d’éjecter la victime hors de son propre compte. Les chercheurs ont aussi épinglé des mails piégés mettant en avant le badge bleu de vérification, des récompenses pour les annonceurs, ou encore l’opportunité de faire vérifier son compte. Dans ces mails, des pages factices sont taillées pour collecter jusqu’à trois codes d’authentification à deux facteurs. Enfin, certains mails contiennent un PDF hébergé sur Google Drive. Soigneusement mis en page, le PDF imite une notification officielle de Meta, avec le logo officiel de l’entreprise. À l’intérieur du PDF se trouve un bouton ou un lien cliquable vers un panneau de contrôle en temps réel, chargé de s’emparer de votre code d’authentification à deux facteurs et de votre mot de passe. Un oubli divulgue l’identité du cybercriminel Guardio Labs a pu remonter jusqu’au commanditaire de la cyberattaque. Celui-ci a en effet oublié d’effacer les métadonnées du fichier PDF utilisé dans l’arnaque. Les métadonnées, analysées par les chercheurs, montrent que le document a été créé sur Canva par un pirate du nom de Phạm Tài Tân. Les chercheurs ont alors débusqué le cybercriminel sur Facebook et sur son site web officiel. Notez que le voleur de comptes Facebook propose des services « d’aide à la récupération de comptes Facebook ». L’infrastructure de l’opération repose sur des bots Telegram qui récupèrent les données volées en temps réel, les trient et les transmettent aux pirates. En croisant les données de quatre bots identifiés, Guardio a dénombré environ 30 000 victimes dans plus de 50 pays, dont 68,6% aux États-Unis. À lire aussi : Nouveau scandale Facebook – des milliers de photos privées ont été compromises Publicités frauduleuses et usurpation d’identité Les chercheurs ont mis en lumière une véritable infrastructure criminelle, composée d’un créateur de kits de phishing, d’un pirate chargé de lancer l’attaque, et d’une plateforme conçue pour mettre en vente les comptes volés. Ces comptes peuvent être revendus sur d’autres marchés noirs, ou servir à diffuser des publicités frauduleuses. Des tentatives d’usurpation d’identité peuvent aussi être orchestrées à l’aide de votre compte Facebook. Plusieurs victimes, contactées directement par Guardio Labs, ont signalé des transactions frauduleuses sur leurs cartes bancaires. C’est la preuve qu’un simple vol de comptes Facebook peut avoir, de fil en aiguille, des conséquences désastreuses. « Ce que nous avons cartographié ressemble moins à une campagne qu’à une chaîne d’approvisionnement : l’accès est récolté, les comptes sont piratés, et la récupération elle-même est revendue. Chaque étape alimente la suivante », explique le rapport de Guardio Labs. Si vous recevez un e-mail urgent concernant votre compte Facebook, même s’il semble provenir d’une adresse Google, ne cliquez sur rien. Rappelez-vous que Facebook ne vous contacte jamais via une adresse Google. Rendez-vous directement sur le site officiel de Facebook, ou sur l’application, et consultez vos notifications. Enfin, si un formulaire vous réclame simultanément votre mot de passe, plusieurs codes d’authentification et une pièce d’identité, il s’agit vraisemblablement d’une arnaque. On vous recommande d’activer les alertes de connexion Facebook, et de remplacer l’authentification par SMS par une application dédiée à la double authentification, comme Google Authenticator, qui repose sur l’envoi d’un code. 👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp. Source : Guardio Labs cyberattaqueFacebookvol de données Florian Bayard Sur le même sujet Une cyberattaque russe a compromis des centaines de comptes Signal Cyberattaque chez France Titres : le site est toujours en cours de « maintenance » Cyberattaque contre l’ANFR : les données de 330 000 personnes piratées Fuite de données : l’hémorragie continue avec le piratage d’une nouvelle administration française Meilleur antivirus 2026 : quel est le meilleur choix ? Quel est le meilleur VPN ? Meilleur stockage cloud en 2026 : lequel choisir ? Comment accéder au Dark Web ? Tutoriel 3 étapes 2026 Meilleur gestionnaire de mots de passe : le guide en mai 2026 Meilleur VPN gratuit : 7 services à choisir et 2 à fuir Les dernières actualités Cette cyberattaque « mondiale » a piraté 30 000 comptes Facebook, mais le hacker a fait une grosse erreur Poco F8 Ultra : sous la barre des 500 €, ce puissant smartphone haut de gamme n’a aucun rival Fini l’attente au Supercharger ? Tesla va prédire l’affluence avant même votre arrivée Renault 4 Plein Sud : la capote à 7 000 euros qui va faire parler Apple Wallet : iOS 27 s’apprêterait à briser une règle d’or établie il y a 14 ans Gemini en voiture c’est parti : Volvo et Polestar passent à l’action Voici l’astuce légale pour avoir Netflix, Canal+, Apple TV, HBO Max… à moins de 20€/mois (-26 ans) E-commerce : Rakuten (ex-PriceMinister) en passe de fermer ses portes Les tests à la une AirPods Pro 3 Google Pixel 9a Google Pixel 10 Google Pixel 10 Pro XL iPhone 17 iPhone 17 Pro iPhone 16e Samsung Galaxy S25 Samsung Galaxy S25 Ultra Samsung Galaxy A56 Samsung Galaxy A26 Samsung Galaxy A17 Starlink Xiaomi Redmi Note 14 4G Xiaomi Redmi Note 14 Pro Xiaomi 15T Pro
← Retour