Des chercheurs en sécurité ont récemment découvert une campagne inquiétante : des sites pour adultes utilisent des fichiers SVG (Scalable Vector Graphics) contenant du code malveillant pour générer des « like » sur Facebook, à l’insu des utilisateurs.
Ce mécanisme, mêlant ingénierie sociale, exploitation de formats de fichier permissifs et manipulation des réseaux sociaux, soulève des questions de sécurité importantes pour tous les internautes, même ceux qui ne pensent pas être des cibles.
L’essentiel à retenir
- Des fichiers image SVG peuvent contenir du HTML/JavaScript et être utilisés comme vecteurs de malware.
- Certains sites pour adultes exploitent cette caractéristique pour lancer des scripts qui, si l’utilisateur est connecté à Facebook, provoquent silencieusement des « likes » sur des publications ou pages, sans consentement.
- Le malware utilisé s’appelle Trojan.JS.Likejack, souvent dissimulé via des techniques d’obfuscation comme « JSFuck ».
- Il est conseillé de se méfier des fichiers provenant de sites inconnus, d’avoir un antivirus et un navigateur bien à jour, de limiter les risques en fermant ses sessions, et de comprendre quels formats de fichiers peuvent être dangereux.
Comment fonctionne cette technique malveillante ?
Les sites pour adultes en question utilisent des fichiers SVG piégés.
À première vue, un SVG ressemble à une simple image, mais c’est en réalité un format basé sur XML qui permet d’intégrer du code ‒ HTML ou JavaScript. Cela ouvre la porte à des exploits.
Le processus typique est le suivant :
- L’utilisateur navigue sur un site adulte ou clique sur un lien intéressant, souvent promettant du contenu explicite.
- Le site incite ou provoque le téléchargement d’un fichier SVG caché.
- Cliquer ou interagir avec ce fichier SVG exécute un JavaScript obfusqué. Parfois, le script utilise des méthodes complexes comme « JSFuck » pour masquer ses intentions.
- Si l’utilisateur est connecté à Facebook dans le même navigateur, le script exécute un « like » automatique sur certaines pages ou publications pour booster leur visibilité.
Cette pratique de « clickjacking » avec Like-jacking permet à ces contenus d’apparaître plus souvent dans les fils d’actualité, en profitant de l’algorithme de visibilité de Facebook.
Pourquoi c’est problématique
- Pas de consentement. L’utilisateur n’a pas demandé à liker ou promouvoir quoi que ce soit.
- Atteinte à la vie privée et réputation. Un « like » involontaire pourrait exposer une personne, compromettre son image ou déclencher des réactions sociales inattendues.
- Effet de levier sur l’algorithme. Plus de « likes » = meilleure visibilité = plus de trafic pour les sites malveillants, ce qui alimente le cercle de la fraude ou de la désinformation.
- Potentiel d’autres abus. La même méthode pourrait être utilisée pour installer d’autres malwares, voler des identifiants, ou rediriger vers des arnaques plus graves.
Comment se protéger
Voici quelques bonnes pratiques pour limiter le risque :
- Ne pas télécharger de fichiers (y compris SVG) depuis des sites que vous ne connaissez pas ou qui semblent suspects.
- Garder le navigateur, l’antivirus et le système d’exploitation à jour.
- Fermer ses sessions Facebook (et autres comptes sensibles) lorsqu’elles ne sont pas utilisées.
- Activer une protection en temps réel via un bon logiciel de sécurité.
- Prendre conscience que certains formats de fichier jugés « inoffensifs » peuvent en fait exécuter du code malveillant.
- Être vigilant face aux publications sur les réseaux sociaux qui paraissent trop sensationnelles, promettent du contenu explicite ou utilisent des noms connus de célébrités.
Cette campagne montre qu’il ne faut pas sous-estimer le danger des fichiers SVG ni de la simplicité apparente d’une « image ».
Le malware Like-jack via SVG est une forme subtile de manipulation qui mêle technologie, social engineering et exploitation des plateformes.
Pour rester en sécurité, il ne suffit pas d’éviter les sites douteux. Il faut aussi comprendre la façon dont ces formats peuvent être exploités, et adopter de bons réflexes numériques.