Life

Attention au spam social

Des sites commerciaux utilisent votre boîte email pour envoyer des courriels à vos contacts en votre nom.

Temps de lecture: 5 minutes

Jusqu'au week-end dernier, je n'avais jamais entendu parler de wegame.com, un site Web qui permet aux «gamers» (passionnés de jeux vidéo) d'enregistrer des vidéos de leurs parties et de les publier. Et puis, dimanche, j'ai reçu un e-mail d'une connaissance dont le champ «objet» indiquait: «[telle connaissance] vous a envoyé une photo!». J'ai naturellement cliqué sur le lien contenu dans le message, lequel m'a dirigé vers le site wegame.com. On m'a d'abord demandé de fournir le mot de passe de ma messagerie habituelle (que le site promettait de ne pas mémoriser), après quoi je pourrais accéder à la photo en question.

La stratégie de ce site Internet est assurément douteuse: une fois que vous avez fourni vos informations de connexion, il extrait tous les contacts de votre compte e-mail et leur envoie le même message avec votre nom dans la ligne «objet». J'ai reçu plusieurs autres messages de WeGame sur mon compte Gmail et sur ma boîte professionnelle venant d'expéditeurs improbables, par exemple un ami du petit copain de mon ex. Il n'y a rien de profondément malveillant là-dedans; il semble que ce soit juste une campagne publicitaire très agressive de la part de WeGame. Toutefois, cet épisode de «spam social» laisse entrevoir la possibilité,  pour les spammeurs plus malintentionnés, d'accéder à vos comptes et de vous causer toutes sortes de problèmes.

Liste de contacts

Dans certains cas, il peut être utile d'autoriser un site Web à avoir accès à votre liste de contacts. Facebook et Twitter proposent de rechercher dans votre messagerie des profils d'amis ou des noms d'utilisateurs. WeGame, un projet sérieux qui a obtenu un financement de 3 millions de dollars [2 millions d'euros] pour son lancement, est tout à fait en droit de faire de la pub auprès des amis des utilisateurs via les comptes de messagerie. Le hic est que ce site vous encourage à envoyer un message à tous vos contacts, et expédie des e-mails bidon si vous cliquez sur «oui» trop de fois sans lire attentivement le message à l'écran. A chaque fois que je me suis connecté, la photo que mon ami voulait prétendument m'envoyer était la même: deux personnes déguisées en Mario Bros.

Le lendemain matin, j'ai créé un compte fictif sur WeGame pour constater à quel point il était facile de spammer ses amis par accident. Après avoir créé un compte, une fenêtre pop-up est apparue, me demandant de «confirmer [mes] invitations par e-mail». Tous les contacts de mon carnet d'adresses fictif étaient sélectionnés par défaut. Pour éviter de spammer tout le monde, j'ai dû cliquer sur annuler, puis désélectionner certains noms. C'est d'ailleurs une amélioration du site. Armin Rosen, un étudiant de premier cycle à l'Université de Columbia, qui est tombé dans le panneau de WeGame, m'a raconté qu'il n'avait «même pas pu visualiser la liste des e-mails» qu'il était sur le point d'envoyer au moment où il s'est créé un compte. J'ai interrogé le fondateur de WeGame, Jared Kim, sur les stratégies publicitaires de son site Web; il a joué l'ignorance et s'est contenté de répondre que son «équipe faisait rapidement évoluer» les fonctionnalités de WeGame.

Nouvelle génération de spams

Je ne me souviens pas de la dernière fois que j'ai vu un spam traditionnel ayant l'air crédible. Bien souvent, l'orthographe et la grammaire de ces messages sont complètement massacrées. Et puis, maintenant, les internautes savent qu'il ne faut pas ouvrir les pièces jointes suspectes ou envoyer leurs coordonnés bancaires à des étrangers. Mais les messages comme celui que m'a envoyé WeGame sont d'une nouvelle génération. Comme nous sommes tellement habitués à interagir avec nos amis à travers les sites de réseau social, nous ne trouvons plus bizarre de recevoir un e-mail contenant un lien vers une photo. Or les nouveaux spammeurs se cachent parfois derrière des sites qui se font passer pour des réseaux sociaux. Et l'arnaque est bien plus difficile à flairer que dans le cas des innombrables messages qui vous proposent un allongement du pénis ou une Rolex de contrefaçon à un prix dérisoire.

Prenons l'exemple de viddyho.com. Ce site Internet, lancé au mois de février, proposait de visionner une vidéo si vous vous connectiez via MSN Messenger, AIM ou Gmail, entres autres programmes (de messagerie instantanée). Rien de vraiment suspect là-dedans. Facebook Connect autorise d'autres fournisseurs Web à utiliser les profils Facebook comme mode d'identification, et votre mot de passe Gmail représente votre ticket d'accès à tous les outils et gadgets de Google. Seulement ViddyHo s'est avéré être un site malhonnête, et ceux qui se sont fait avoir en ont payé le prix. Si vous donniez votre nom d'utilisateur et votre mot de passe Gmail, le site envoyait un message instantané via Google Chat à tous vos contacts pour vanter les mérites de ViddyHo. Non seulement ce site faisait des victimes de piratages, mais en plus, il assurait à tous leurs amis que ce sont des personnes de confiance.

Les dommages causés par ViddyHo ou WeGame semblent être limités dans la mesure où, dans le pire des cas, les victimes se retrouvent dans l'embarras. Hoan Ton-That, le fondateur du site qui travaille à San Francisco, m'a affirmé qu'il n'avait pas l'intention de créer des invitations automatiquement expédiées à tout le carnet d'adresses des utilisateurs (il a toutefois créé un nouveau site aux ambitions similaires, ce qui n'est pas très encourageant). Par ailleurs, rien n'empêche le prochain ViddyHo de causer plus de tort aux internautes en enregistrant leurs mots de passe et l'adresse de leurs contacts à des fins plus graves.

Confiance

Comme toute arnaque digne de ce nom, le spam social exploite notre confiance. Nous nous disons que nos amis ne nous inviteraient pas à créer un compte sur un site malveillant. Des variantes de cette escroquerie existent depuis l'essor et la prédominance aux Etats-Unis d'AOL Instant Messenger (système de messagerie instantanée). A l'époque, je recevais parfois des messages d'amis contenant un lien vers des articles censés raconter la capture d'Oussama Ben Laden. (Et je cliquais sur ce lien). Mais avec la popularisation des réseaux sociaux sur Internet, ces arnaques sont encore mieux ficelées. J'ai l'impression que la plupart des victimes des e-mails de WeGame sont plus du genre «distraits» que «de confiance». Quand on décide de s'inscrire sur un nouveau site, on a tendance à se mettre en mode automatique; on renseigne tous les champs, quelles que soient les données requises. Après tout, on l'a déjà fait mille fois sans que cela ne pose de problème. (Un étudiant de l'Université de Wesleyan [Connecticut] raconte qu'il était au téléphone et qu'il a cliqué par inadvertance au mauvais endroit, ce qui lui a valu de spammer la mère de son meilleur ami.)

On voit aisément comment le spam social pourrait véritablement nuire aux internautes. Imaginez qu'un site - indiqué comme étant «sûr» dans un e-mail envoyé depuis la boîte d'un de vos amis, naturellement - demande aux utilisateurs de fournir leur adresse électronique en guise d'identifiant et les invite à créer un mot de passe. Ce serait ensuite un jeu d'enfant pour le site pirate de vérifier si cette combinaison adresse électronique/mot de passe permet d'ouvrir la boîte e-mail d'un utilisateur. Etant donné que les internautes utilisent souvent le même mot de passe pour toutes leurs activités sur le Web, je mets ma main à couper que cette combine - aussi simple soit-elle - marcherait dans de nombreux de cas. Une fois la messagerie craquée, le site Web malveillant pourrait envoyer des invitations à toute la liste de contacts. Après quoi il serait en mesure d'effectuer des recherches dans les boîtes de réception pour récupérer des informations précieuses, comme des coordonnées bancaires ou des numéros de sécurité sociale.

Si WeGame et les sites de la même espèce continuent de proliférer, les fournisseurs de Webmail se verront peut-être obligés d'installer des compléments de protection contre l'extraction de contacts par des sites extérieurs. «Nous désapprouvons les sites qui gèrent les informations de leurs utilisateurs de cette façon», m'a confié un porte-parole de Google. Et d'ajouter: «Dans certains cas, il nous arrive de prendre des mesures proactives pour identifier les spams et les bloquer».

En fait, WeGame n'envoie pas de messages depuis le compte des utilisateurs de Gmail. Ce site ne fait qu'envoyer un e-mail à vos contacts en insérant votre nom dans le champ «objet». Par conséquent, le mieux que Google aurait pu faire immédiatement eût été de bloquer les e-mails provenant de WeGame.

L'augmentation des sites malveillants et du spam social nous donne une raison de plus pour prendre quelques précautions quand on surfe sur le net. Voici un conseil simple et surtout bienveillant: ne révélez pas votre mot de passe de messagerie à n'importe quel site Web et, pour la millionième fois, n'utilisez pas systématiquement le même mot de passe pour tout.

Chris Wilson

Image de Une: Spam, dok1, Flikcr, CC

cover
-
/
cover

Liste de lecture