Régulièrement je vois mes amis poster sur Facebook des messages de détresse dont ils se seraient volontiers passé. Les plus courrants ressemblent à ceci :

Salut, désolé pour ce message bidon que je viens de supprimer. Mon compte a été piraté cette nuit mais je viens de régler le problème désolé pour la gène occasionnée et ne contactez surtout pas cet escroc, merci

ou bien :

Le prochain qui m'envoie une invitation candy crush je lui crame sa baraque.

Des situations bien différentes mais qui ont toutes un point commun : la méconnaissance du fonctionnement de Facebook. Afin que ce genre de choses ne se reproduisent plus, passons en revue quelques bons réflexes.

Invitations intempestives et compagnie

Tout le monde a cet ami qui bombarde tout le monde d'invitations pour des jeux plus ou moins stupides. On l'aime bien et on ne veut donc pas le supprimer de ses amis, mais on en a raz-le-bol quand même. La solution est d'une simplicité enfantine :

1. mémorisez le nom de l'application/jeu auquel on vous invite ;
2. rendez-vous dans vos paramètres sur la page de gestion des blocages ;
3. écrivez le nom de l'application/jeu dans la partie « Applications bloquées ».

Et voila, c'est fini. Pensez à bien lire toutes les options qui s'offrent à vous sur cette page de gestion des blocages, il y a pas mal de choses embêtantes que vous pouvez bloquer. C'est toujours mieux que de hurler dans le vide, ce qui a le mérite d'embêter ceux qui savent bloquer les applications et autres trucs lourds.

Et ceci n'est que le début de la liste… à l'heure où j'écris ces lignes j'en suis rendu à une soixantaine d'applications bloquées.

Les applications avec trop de droits

Vous ne le savez peut être pas, mais les applications que vous utilisez peuvent demander différents droits. Certaines ne s'en privent pas et si vous n'êtes pas vigilant elles pourront poster en votre nom un peu partout. C'est très pratique pour répandre du spam.

La prévention

N'acceptez jamais de donner le moindre droit aux applications et jeux. parce que je sais que vous allez tout de même le faire, sachez que :

• il est impossible de savoir qui consulte votre profil, les applications disant pouvoir le faire sont des arnaques ;
• si on vous demande de vous connecter avec Facebook ou d'utiliser une application pour voir une vidéo, c'est une arnaque ;
• Facebook gère très bien les anniversaires tout seul, les applications pour ça sont des arnaques ;
• généralement, si un de vos amis vante les mérites d'une application, c'est une arnaque (oui c'est l'app qui a posté à sa place).

Parce que l'humain est d'un naturel pervers et curieux, certains n'hésiteront pas à vous attirer sur des sites peu fréquentables avec des liens vers des vidéos du genre « Il met des caméras dans la chambre de sa copine et ce qu'elle fait est tout simplement hallucinant ! ». Bien entendu, pour voire la vidéo vous devrez vous « connecter avec facebook » ou « utiliser l'application ». Inutile de vous préciser que si vous acceptez votre timeline sera bourrée de liens de ce genre postés à votre insu.

La thérapie

Bien entendu vous n'avez pas bien écouté les bons conseils ci-dessus et vos amis vous signalent plein de posts soit-disant de vous qui contiennent du spam en tout genre. Il est temps de faire le ménage par le vide. Pour cela, rendez-vous dans la page de gestion des applications et repérez celles qui n'ont rien à faire là. Si vous souhaitez conserver une application, cliquez sur « Modifier les paramètres » et indiquez ce que l'application à le droit de faire ou non. Vous pourrez ainsi lui enlever le droit de poster en votre nom, restreindre sa visibilité à vous seul et ainsi de suite.

Pensez à régulièrement regarder cette page même si vous ne pensez pas avoir installé de nouvelles applications.

Les accès frauduleux à votre compte

L'immense majorités des « piratages » de comptes ne sont pas du tout ce que l'imaginaire collectif pense. Dans l'immense majorité des cas c'est l'œuvre de vos proche, souvent un ex ou un collègue. Avant toutes choses sachez le : le niveau de sécurité global d'un système est égal au niveau de sécurité du maillon le plus faible. Étant donné que Facebook prend la sécurité très au sérieux, le maillon faible c'est vous.

La prévention

Pour éviter les problèmes, ne déroger sous aucun prétexte aux règles suivantes :

• ne donnez votre mot de passe à personne, pas même à votre conjoint/parent/chat/poisson-rouge ;
• n'utilisez pas votre mot de passe sur un autre site ;
• utilisez un mot de passe long (au moins 8 caractères) qui ne représente aucun mot ou autre donnée intelligible ;
• non, remplacer les o d'un mot par des zéros et autres astuces du genre ne font pas un bon mot de passe ;
• utiliser un gestionnaire de mot de passes est une bonne idée ;
• ne vous connectez pas depuis des ordinateurs qui ne vous appartiennent pas ;
• avant de vous connecter, vérifiez toujours que vous êtes bien sur www.facebook.com, que vous êtes en HTTPS et que le certificat de sécurité est valide.

Une seule de ces adresses est la bonne, les trois autres sont caractéristiques d'une attaque en cours. Notez que facebook utilise, en plus de www, des codes de langues en sous-domaine. Ainsi, https://fr-fr.facebook.com/ est une adresse légitime.

La thérapie

Si vous vous êtes tout de même connecté depuis une machine qui ne vous appartient pas, pensez à bien vous déconnecter et, une fois chez vous, rendez-vous sur la page de sécurité afin de vérifier tous les lieux et les navigateurs depuis lesquels vous êtes connectés. Vous pouvez ainsi forcer votre déconnexion si vous aviez oublié de le faire.

Si votre mot de passe a fuité d'une manière ou d'une autre, modifiez-le immédiatement. Si vous n'avez plus accès à votre compte, commencer par demander une résiliation du mot de passe puis, si vous n'avez toujours pas accès à votre compte, signalez-le à Facebook.

Pour aller plus loin

Si vous êtes particulièrement exposé à des menaces (journaliste, avocat, policier, militaire, etc) vous souhaiterez certainement prendre des mesures supplémentaires afin de garantir l'intégrité de votre compte.

Vérification du navigateur

Vous pouvez demander une alerte lorsque vous vous connectez depuis un navigateur non-reconnu.

La double-authentification

Facebook vous permet de demander, en plus de votre mot de passe, un code à usage unique afin de vous connecter. Ce code est généré grâce à un algorithme nommé TOTP, ce qui implique que vous devrez utiliser un client TOTP tel que Google Authenticator (application mobile).

OpenPGP

Afin d'être certain que les emails que vous recevez proviennent bien de Facebook et non d'une tentative de phishing, vous pouvez insérer votre clé OpenPGP dans votre profil. En faisant ainsi, Facebook signera tous les emails qu'il vous envoie. Vous pouvez également lui demander de les chiffrer afin d'éviter qu'une personne surveillant vos emails ne puisse en lire le contenu.

Attention cependant, l'utilisation de GPG est complexe. Le GNU/Linux Magazine n⁰168 (février 2014) comporte un très bon dossier sur le sujet.