Malware via Facebook Messenger : reconnaître et supprimer l'infection

Vous utilisez peut‑être Facebook pour garder le contact avec des amis et la famille, ou pour plaisanter avec des collègues après les heures de travail. On y suit aussi des groupes, des séries ou des artistes. Mais ce n’est pas l’environnement le plus sûr en ligne.

Entre les atteintes à la vie privée, le harcèlement, les controverses sur la censure et le « discours de haine », Facebook est loin d’être un foyer numérique rassurant. Et il y a aussi les malwares.

Le malware via Facebook n’est pas nouveau. À l’été 2017, une variante a ciblé les utilisateurs via Facebook Messenger, les poussant à installer des adwares et des chevaux de Troie. Comment repérer ce type d’attaque et vérifier si vous êtes infecté ? Ce guide pratique et opérationnel vous accompagne pas à pas.

Pourquoi une attaque inter‑plateformes fonctionne aujourd’hui

Autrefois, la plupart des malwares ciblaient Windows. Microsoft a dû renforcer la sécurité jusqu’à livrer Windows Defender intégré. Aujourd’hui, Windows reste une cible prioritaire, mais les attaquants optimisent leurs efforts.

Avec un peu plus d’ingénierie, un même vecteur d’attaque peut tromper des utilisateurs sur Windows, macOS, Linux et même sur mobile. Les développeurs malveillants cherchent un profit, pas seulement à détruire des données. Le modèle économique a changé : les publicitaires frauduleux, les click‑fraud et les botnets rapportent.

C’est pour cela que les attaques inter‑plateformes se multiplient : une seule campagne bien conçue peut infecter plusieurs systèmes en adaptant la charge utile selon l’agent utilisateur détecté.

Comment l’attaque vous cible personnellement

Les campagnes qui passent par Facebook exploitent la confiance. Elles utilisent votre nom, détectent automatiquement votre navigateur et système d’exploitation (User Agent) et vous orientent vers une charge utile adaptée.

Le message typique : votre nom + « Video » (ou « Vidéo ») + emoji + un lien. Le lien redirige souvent vers un fichier Google Docs ou un site hébergé qui affiche une image floutée censée être une vidéo.

En réalité, le site lit votre User Agent et propose un faux correctif : mise à jour Flash (EXE), extension Chrome (CRX), image DMG pour macOS, ou dépôt PPA pour Linux. En cliquant, vous installez l’adware ou un Trojan, parfois les deux.

Signes indiquant une infection

• Apparition soudaine de publicités intrusives dans le navigateur et sur le bureau.
• Extensions ou modules ajoutés sans votre autorisation.
• Pages qui redirigent automatiquement vers des sites publicitaires.
• Ralentissements anormaux, processus inconnus en arrière‑plan.
• Alertes d’antivirus signalant des composants potentiellement indésirables.

Important : ne supposez pas qu’une seule mesure suffit. Les campagnes modernes peuvent combiner adware, keylogger et contrôles à distance.

Quels sites et messages sont utilisés

Selon votre navigateur et OS, la page de leurre changera :

• Firefox sur Windows : faux installateur Flash (.exe).
• Chrome sur Windows : fausse page YouTube qui propose une extension malveillante.
• Safari sur macOS : DMG malveillant déguisé en lecteur ou correctif.
• Linux : invitation à ajouter un PPA ou à installer un paquet.

Ces variantes permettent au même message initial sur Messenger d’atteindre un maximum de victimes.

Que risquez‑vous après l’installation

• Publicités intempestives et traque commerciale (adware).
• Pertes de données si un Trojan destructeur est installé.
• Keyloggers volant vos identifiants.
• Accès distant à votre machine, intégration dans un botnet.
• Vol d’identité ou compromission de comptes liés.

Playbook : étapes rapides de nettoyage (SOP)

Suivez ce playbook dans l’ordre. Si vous n’êtes pas à l’aise, demandez l’aide d’un professionnel.

1. Isolez l’appareil : déconnectez‑le d’Internet.
2. Notez le message reçu (capture d’écran) et l’heure.
3. Ne saisissez aucun mot de passe sur l’appareil compromis.
4. Redémarrez en mode sans échec (Windows) ou mode minimal (macOS/Linux si possible).
5. Désinstallez les extensions récentes et les programmes suspects.
6. Lancez un scan complet avec un antivirus/antimalware réputé.
7. Changez vos mots de passe depuis un appareil propre.
8. Révoquez les sessions Facebook et les applications tierces.
9. Surveillez vos comptes bancaires et journaux d’activité pendant 30 jours.

Note : conserver les preuves (captures d’écran, URL, fichiers téléchargés) peut aider en cas d’enquête.

Suppression ciblée par navigateur

Google Chrome

1. Ouvrez le menu > Paramètres > Avancé > Réinitialiser.
2. Réinitialisez les paramètres du navigateur pour désactiver les extensions.
3. Dans chrome://extensions, supprimez toute extension inconnue.
4. Supprimez les programmes récemment installés depuis le panneau de configuration (Windows) ou Applications (macOS).

Cette réinitialisation fonctionne quel que soit le système d’exploitation.

Firefox

1. Tapez about:support et cliquez sur « Réparer Firefox ».
2. Vérifiez les modules et thèmes dans about:addons.
3. Supprimez ce qui est suspect.

Safari (macOS)

1. Ouvrez Préférences > Extensions.
2. Désinstallez les extensions inconnues.
3. Vérifiez dans Applications pour supprimer tout installateur malveillant (DMG) déplacé dans /Applications.

Linux

1. Vérifiez les PPA ajoutés dans /etc/apt/sources.list.d/.
2. Supprimez tout dépôt non officiel ajouté récemment.
3. Désinstallez les paquets suspects.

Analyse antivirus et outils recommandés

• Lancez un scan complet avec votre antivirus principal.
• Si la détection est insuffisante, utilisez un second avis (outil de nettoyage antimalware gratuit de confiance).
• Pour macOS, utilisez un outil spécialisé capable d’inspecter les launch agents et les éléments de démarrage.
• Sur Linux, vérifiez les crontabs, systemd units et services utilisateur.

Important : évitez les outils antifraud douteux proposés par des sites non vérifiés. Téléchargez toujours depuis le site officiel de l’éditeur.

Vérifier et révoquer les applications Facebook

1. Ouvrez le menu Facebook > Paramètres > Applications.
2. Passez en revue la liste des applications et sites autorisés.
3. Retirez les applications inconnues ou inutilisées.
4. Révoquez les permissions excessives (lecture des messages, publication au nom de l’utilisateur).

Ce geste réduit les vecteurs d’attaque et limite la surface d’exposition.

Liste de contrôle selon le rôle

Utilisateur lambda

• Ne cliquez pas sur des liens inattendus, même venant de contacts.
• Activez l’authentification à deux facteurs (2FA) sur Facebook.
• Scannez votre appareil et changez les mots de passe depuis un appareil propre.

Administrateur système

• Surveillez les logs réseau pour des connexions inhabituelles.
• Bloquez les domaines de redirection connus au niveau du DNS.
• Déployez règles EDR/antivirus et révoquez les clés compromises.

Responsable sécurité / RSSI

• Établissez une communication de crise pour informer les utilisateurs.
• Lancez une campagne de changement de mots de passe si nécessaire.
• Auditez les intégrations API et applications tierces.

Diagramme de décision : que faire après avoir cliqué

flowchart TD
  A[Vous avez cliqué sur le lien Messenger] --> B{Avez‑vous téléchargé un fichier ?}
  B -- Non --> C[Changez le mot de passe depuis un appareil propre et surveillez]
  B -- Oui --> D{Quel type de fichier ?}
  D -- EXE/DMG/PAQ --> E[Isoler la machine, déconnecter réseau, antivirus + playbook]
  D -- Extension --> F[Supprimer l'extension, réinitialiser navigateur, scan]
  D -- PPA --> G[Supprimer le dépôt, désinstaller paquets, scan]
  E --> H[Si doute, réinstaller OS ou restaurer depuis sauvegarde fiable]
  F --> H
  G --> H

Risques, évaluations et mitigations

Tests d’acceptation après nettoyage

• Le navigateur ne redirige plus vers des pages inconnues.
• Aucune extension inconnue n’est présente.
• Les scans antivirus ne détectent plus de menaces.
• Les connexions sortantes suspectes ont disparu selon les logs réseau.

Glossaire rapide

• User Agent : chaîne envoyée par le navigateur indiquant le navigateur et le système.
• EXE/DMG/CRX/PPA : formats de fichiers/paquets pour Windows/macOS/Chrome/Linux.
• Adware : logiciel affichant des publicités non désirées.
• Trojan : logiciel malveillant caché sous une apparence légitime.

Bonnes pratiques et durcissement de la sécurité

• Activez 2FA pour tous les comptes importants.
• N’utilisez pas le même mot de passe sur plusieurs sites.
• Limitez la visibilité de vos publications et votre profil Facebook aux amis.
• Auditez et retirez régulièrement les applications tierces.
• Maintenez OS et navigateurs à jour.
• Utilisez un gestionnaire de mots de passe et un antivirus réputé.

Notes sur la vie privée et conformité

Les données exposées via Facebook peuvent inclure nom, photo, liste d’amis et préférence de navigation. Si vous traitez des données personnelles d’une juridiction comme l’UE, informez‑vous sur vos obligations RGPD en cas d’incident : notification aux autorités et, si nécessaire, communication aux personnes concernées.

Contre‑exemples et limites de cette approche

• Si l’attaquant a déjà volé vos identifiants et activé la 2FA via une méthode contrôlée par lui, changer le mot de passe seul peut être insuffisant.
• Si un firmware ou une ROM est compromise (rare), seule la réinstallation complète et la vérification matérielle apporteront une certitude.

Conclusion et actions immédiates

1. Si vous avez cliqué : isolez l’appareil, ne saisissez plus de mots de passe sur celui‑ci.
2. Scannez, nettoyez et révoquez les applications Facebook inconnues.
3. Changez vos mots de passe depuis un appareil sain et activez la 2FA.
4. Surveillez vos comptes pendant 30 jours.

Résumé clé : ce malware exploite la confiance apportée par un message Messenger personnalisé et s’adapte à votre navigateur. La combinaison réactivité (isoler), nettoyage (scan + suppression) et prévention (2FA + révoquer apps) est la meilleure défense.

Avez‑vous été touché par ce type d’attaque ? Quel système d’exploitation et quel navigateur utilisiez‑vous ? Le malware a‑t‑il été détecté et supprimé par votre antivirus ? Racontez votre expérience pour aider la communauté.