Une vaste campagne de cyberattaque vise actuellement les utilisateurs de Facebook, en particulier les créateurs de contenu et les administrateurs de pages professionnelles. En promettant un faux badge bleu de vérification, les cybercriminels cherchent à prendre le contrôle des comptes à l’aide d’une technique redoutable : le vol de cookies de session.
Selon les chercheurs de Hunt.io, à l’origine de la découverte, il s’agit d’une attaque dite ClickFix. Cette méthode consiste à manipuler psychologiquement la victime pour qu’elle réalise elle-même les actions permettant l’intrusion, contournant ainsi les systèmes de sécurité classiques. L’attaque a gagné en ampleur depuis début 2025 et avait déjà été repérée par Unit42 Threat Intelligence, avec plus de 115 pages de phishing mises en circulation.
L’arnaque commence par un message alarmant : la victime est informée qu’elle peut obtenir gratuitement le badge bleu — habituellement accessible via l’abonnement Meta Verified — ou qu’un « problème urgent » menace son compte. Un lien renvoie vers une fausse page d’assistance imitant parfaitement l’interface officielle de Meta.
Après une animation trompeuse, l’utilisateur est redirigé vers un portail frauduleux affichant des alertes rouges et parfois un compte à rebours, afin de créer un sentiment d’urgence.
La victime est ensuite guidée pas à pas, parfois via une vidéo, pour extraire et copier des cookies de session depuis son navigateur. Ces données techniques prouvent qu’une session Facebook est active et permettent aux attaquants de se connecter sans mot de passe. Une fois les cookies validés par un script, les pirates demandent à l’utilisateur de rester connecté pendant 24 heures, le temps de prendre le contrôle du compte.
Sous prétexte d’une « ultime vérification », la page réclame enfin le mot de passe. Avec les cookies et l’identifiant, les cybercriminels peuvent verrouiller le compte, modifier les informations de paiement et lancer des campagnes frauduleuses au nom de la victime.
Facebook ne demandera jamais de cookies de session ni d’informations techniques issues de votre navigateur. Ces données doivent être considérées comme aussi sensibles qu’un mot de passe. En cas de message promettant une vérification gratuite ou évoquant une urgence, méfiez-vous, vérifiez l’URL et ne cliquez jamais sur des liens suspects.
Selon les chercheurs de Hunt.io, à l’origine de la découverte, il s’agit d’une attaque dite ClickFix. Cette méthode consiste à manipuler psychologiquement la victime pour qu’elle réalise elle-même les actions permettant l’intrusion, contournant ainsi les systèmes de sécurité classiques. L’attaque a gagné en ampleur depuis début 2025 et avait déjà été repérée par Unit42 Threat Intelligence, avec plus de 115 pages de phishing mises en circulation.
L’arnaque commence par un message alarmant : la victime est informée qu’elle peut obtenir gratuitement le badge bleu — habituellement accessible via l’abonnement Meta Verified — ou qu’un « problème urgent » menace son compte. Un lien renvoie vers une fausse page d’assistance imitant parfaitement l’interface officielle de Meta.
Après une animation trompeuse, l’utilisateur est redirigé vers un portail frauduleux affichant des alertes rouges et parfois un compte à rebours, afin de créer un sentiment d’urgence.
La victime est ensuite guidée pas à pas, parfois via une vidéo, pour extraire et copier des cookies de session depuis son navigateur. Ces données techniques prouvent qu’une session Facebook est active et permettent aux attaquants de se connecter sans mot de passe. Une fois les cookies validés par un script, les pirates demandent à l’utilisateur de rester connecté pendant 24 heures, le temps de prendre le contrôle du compte.
Sous prétexte d’une « ultime vérification », la page réclame enfin le mot de passe. Avec les cookies et l’identifiant, les cybercriminels peuvent verrouiller le compte, modifier les informations de paiement et lancer des campagnes frauduleuses au nom de la victime.
Facebook ne demandera jamais de cookies de session ni d’informations techniques issues de votre navigateur. Ces données doivent être considérées comme aussi sensibles qu’un mot de passe. En cas de message promettant une vérification gratuite ou évoquant une urgence, méfiez-vous, vérifiez l’URL et ne cliquez jamais sur des liens suspects.