{"id":119279,"date":"2026-05-06T07:58:08","date_gmt":"2026-05-06T07:58:08","guid":{"rendered":"https:\/\/www.europesays.com\/ch-fr\/119279\/"},"modified":"2026-05-06T07:58:08","modified_gmt":"2026-05-06T07:58:08","slug":"ce-hacker-a-vole-des-milliers-de-comptes-facebook-puis-a-tout-gache-a-cause-dun-simple-pdf","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/ch-fr\/119279\/","title":{"rendered":"Ce hacker a vol\u00e9 des milliers de comptes Facebook\u2026 puis a tout g\u00e2ch\u00e9 \u00e0 cause d&rsquo;un simple PDF"},"content":{"rendered":"<p>Ce qui aurait pu \u00eatre une incroyable campagne de phishing fructueuse a tourn\u00e9 en v\u00e9ritable eau de boudin. En mars et avril 2026, des pirates informatiques vietnamiens ont men\u00e9 une vaste op\u00e9ration de phishing baptis\u00e9e \u201cAccountDumpling\u201d. Celle-ci s\u2019est rapidement av\u00e9r\u00e9e porteuse, puisqu\u2019elle leur a permis de compromettre 30\u00a0000 comptes Facebook dans plus de 50 pays.<\/p>\n<p>La m\u00e9thodologie suivie par les assaillants \u00e9tait assez \u00e9labor\u00e9e et diablement efficace. Ils sont pass\u00e9s par Google AppSheet, un outil officiel de Google. Pour parvenir \u00e0 pirater les comptes Facebook de leurs victimes, ils se sont servis d\u2019AppSheet pour envoyer de faux emails \u00e9manant de Facebook qui ne tomberaient pas dans le dossier des ind\u00e9sirables. Ils ont alors tout simplement cr\u00e9\u00e9 un compte AppSheet, leur permettant d\u2019envoyer des mails partant depuis l\u2019adresse \u201c<a href=\"https:\/\/www.journaldugeek.com\/cdn-cgi\/l\/email-protection\" class=\"__cf_email__\" data-cfemail=\"315f5e4354415d487150414142595454451f525e5c\" rel=\"nofollow noopener\" target=\"_blank\">[email\u00a0protected]<\/a>\u201d, partant depuis les serveurs de Google et donc passant tous les contr\u00f4les d\u2019authenticit\u00e9.<\/p>\n<p>Le mail que re\u00e7oit la victime peut ensuite prendre quatre formes diff\u00e9rentes, toutes identifi\u00e9es par Guardio Labs\u00a0:<\/p>\n<p>  Fausse page Facebook (Cluster A) : l\u2019email menace d\u2019une suspension de compte pour violations de droits d\u2019auteur. La victime doit alors cliquer sur le lien la renvoyant vers un faux site Facebook qui collecte identifiants, mots de passe, photos de carte d\u2019identit\u00e9 et num\u00e9ro de t\u00e9l\u00e9phone. Fausse r\u00e9compense et badge bleu (Cluster B) : les pirates app\u00e2tent avec des promesses, comme un badge de v\u00e9rification bleu gratuit (alors qu\u2019il est payant en temps normal), des r\u00e9compenses pour annonceur\u2026 PDF pi\u00e9g\u00e9 sur Google Drive (Cluster C) : l\u2019email contient un PDG h\u00e9berg\u00e9 sur Google Drive qui s\u2019apparente \u00e0 une vraie communication de Meta. Il contient un lien qui permet de suivre en temps r\u00e9el la victime et de collecter ses mots de passe voire de faire des captures d\u2019\u00e9cran du navigateur. Fausses offres d\u2019emploi (Cluster D) : l\u2019email envoy\u00e9 imite des recruteurs de WhatsApp, Meta, Adobe, Apple, Coca-Cola ou encore Ray-Ban. Le lien contenu renvoie ici vers une conversation WhatsApp que les pirates d\u00e9tournent.  Une erreur qui co\u00fbte tr\u00e8s cher <\/p>\n<p>Avec toutes ces informations, les pirates avaient clairement les moyens de s\u2019en mettre plein les poches, d\u2019autant que leurs victimes proviennent des Etats-Unis, d\u2019Italie, du Canada ou encore d\u2019Australie. Cependant, c\u2019est en utilisant la m\u00e9thode du Cluster C que les autorit\u00e9s sont tr\u00e8s rapidement parvenues \u00e0 remonter la source des phishing et \u00e0 identifier le commanditaire.<\/p>\n<p>Ledit PDF utilis\u00e9 par les pirates pour hame\u00e7onner leur victime aurait en effet \u00e9t\u00e9 cr\u00e9\u00e9 sur Canva qui, automatiquement, enregistre les donn\u00e9es du cr\u00e9ateur du fichier dans les m\u00e9tadonn\u00e9es de celui-ci. Ainsi, les chercheurs ont retrouv\u00e9 dans le champ \/Author du PDF le nom r\u00e9el du pirate informatique, \u00e0 savoir Ph\u1ea1m T\u00e0i T\u00e2n. Guardio Labs est m\u00eame parvenu \u00e0 tr\u00e8s rapidement retrouver son profil Facebook et son site internet, o\u00f9 il propose des services de \u201cr\u00e9cup\u00e9ration de comptes Facebook\u201d. Rien que \u00e7a\u2026<\/p>\n<p>Une erreur de d\u00e9butant donc, mais qui n\u2019indique pas pour autant que M. T\u00e0i T\u00e2n est \u00e0 l\u2019origine des trois autres formes de phishing. Un lien peut \u00e9ventuellement \u00eatre \u00e9tabli avec les clusters A et B, puisqu\u2019ils utilisent les m\u00eames bots Telegram et les m\u00eames patterns techniques. C\u2019est toutefois plus flou pour le cluster D, qui utilise la m\u00eame m\u00e9thodologie via AppSheet, mais dans lequel certains indices marquants des autres clusters n\u2019apparaissent pas.<\/p>\n<p>\u00a0<\/p>\n<p class=\"text-base text-neutral-700 dark:text-neutral-300\" style=\"color:grey;\">\ud83d\udfe3 Pour ne manquer aucune news sur le Journal du Geek, <a href=\"https:\/\/profile.google.com\/cp\/CgwvZy8xejJ2N182c2MaHmh0dHBzOi8vd3d3LmpvdXJuYWxkdWdlZWsuY29tLw==?pf=6\" target=\"_blank\" rel=\"nofollow noopener\">suivez-nous sur Google<\/a> et sur notre canal <a href=\"https:\/\/whatsapp.com\/channel\/0029VaClM5y4tRry12tb7D2h\" target=\"_blank\" rel=\"nofollow noopener\">WhatsApp<\/a>. Et si vous nous adorez, on a <a href=\"https:\/\/www.journaldugeek.com\/newsletter\/\" target=\"_blank\" rel=\"nofollow noopener\">une newsletter tous les matins<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"Ce qui aurait pu \u00eatre une incroyable campagne de phishing fructueuse a tourn\u00e9 en v\u00e9ritable eau de boudin.&hellip;\n","protected":false},"author":2,"featured_media":119280,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[5102,3926,322,31855,5176,31856,3934,830,61,57,59,58,23,60,62],"class_list":{"0":"post-119279","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-sciences-et-technologies","8":"tag-arrestation","9":"tag-cybersecurite","10":"tag-facebook","11":"tag-fraude-informatique","12":"tag-hacker","13":"tag-phishing","14":"tag-piratage","15":"tag-reseaux-sociaux","16":"tag-science","17":"tag-science-and-technology","18":"tag-sciences","19":"tag-sciences-et-technologies","20":"tag-suisse","21":"tag-technologies","22":"tag-technology"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@ch_fr\/116526573595780076","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/ch-fr\/wp-json\/wp\/v2\/posts\/119279","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/ch-fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/ch-fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/ch-fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/ch-fr\/wp-json\/wp\/v2\/comments?post=119279"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/ch-fr\/wp-json\/wp\/v2\/posts\/119279\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/ch-fr\/wp-json\/wp\/v2\/media\/119280"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/ch-fr\/wp-json\/wp\/v2\/media?parent=119279"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/ch-fr\/wp-json\/wp\/v2\/categories?post=119279"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/ch-fr\/wp-json\/wp\/v2\/tags?post=119279"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}