Samedi de Pâques, ont été mis en ligne gratuitement les données volées de Facebook sur un forum de hacker. Les données comprennent pas moins de 1/2 milliard de comptes Facebook ! Soit près de 20 % de tous les utilisateurs Facebook … ? Un certain nombre d'articles d'actualité parlent du sujet (BusinessInsider, BleepingComputer). Les archives sont divisées par pays de provenance des utilisateurs. L'archive n'était pas nouvelle, mais elle était uniquement vendue depuis juin 2020, donc réservée à une communauté restreinte. Les données elles-mêmes ont été volées semble-t-il en 2019 suite à une faille du site Facebook. Depuis dimanche, l'archive est aussi distribuée sur BitTorrent, ce qui va évidemment fortement augmenter sa diffusion. La publication en début de période de Pâques n'est pas un hasard. Dans une période de congés, c'est là où l'impact d'attaques qui en découleront sur les individus mais aussi les entreprises, sera le plus grand.

Les données

Les archives publiées comprennent différentes informations, mais la plus importante est le numéro de mobile attaché au compte Facebook. Les autres données permettent de cibler l'attribution de la personne (nom, prénom, genre, statut, lieu de résidence, lieu d'origine, entreprise professionnelle ou occupation, date de naissance, adresse email en quantité limitée). Précédemment les grosses publications de vols de données concernaient surtout les adresses emails et les mots de passe crackés. Mais ces dernières années, les numéros de mobiles commencent à devenir une donnée de choix. En effet de plus en plus de systèmes de protections se basant sur les SMS, le numéro de mobile devient donc une donnée très importante pour lancer des attaques «SIM Swapping» auprès des entreprises Télécoms, ou même utiliser le numéro pour faire de l'usurpation d'identité de l'appelant. De plus la plate-forme mobile étant popularisée de plus en plus par les entreprises commerciales et banques, obtenir des données pour pouvoir mieux attaquer cette plate-forme devient aussi un objet stratégique (campagnes d'influences politiques via des «mobiles farm» par exemple, piratage de comptes financiers etc). De plus en périodes de confinements, de télétravail de plus en plus utilisé, les donnés mobiles deviennent des données d'attaques très importantes.

Les données de la Suisse, et des pays voisins

L'archive de la Suisse comprend 1.5 millions de comptes, soit pas moins de 18.5 % de  toute la population Suisse. Les archives des pays voisins ont une proportion de comptes plus ou moins grande en fonction de l'usage et de la culture d'utilisation de Facebook dans le pays. Certaines archives comme celle de l'Italie couvrent près de 59 % de toute la population du pays … Voici les chiffres des pays proches.

Pays Taille fuite % population totale
Suisse 1'592'039 18.5% pop. 2019
France 19'848'557 29.1% pop. 2020
Italie 35'677'337 59.1% pop. 2019
Allemagne 6'054'422 7.2% pop. 2019
Belgique  3'183'540  27.6% pop. 2021
Autriche 1'249'388 14.1% pop. 2020

Les entreprises suisses concernées

Plus de 468'000 personnes ayant remplis les informations concernant l'occupation professionnelle ou l'entreprise concernée, cette information donne non seulement une bonne idée de la proportion des entreprises importantes de Suisse, mais aussi celles qui pourraient être concernées par des attaques futures, dérivées de ces données. On retrouve les grandes banques de Suisse, mais aussi les institutions importantes du pays. Voici le classement suivant du nombre de comptes volés par entreprise/institution :

(données partiellement modifiées pour regrouper la majeure partie des différentes dénominations des langues nationales, différentes syntaxes des noms etc)

Nombre Occupation, entreprise
26573 Self-Employed
3125 Swiss army
3015 Migros
2814 La Poste suisse
2673 Retired
2406 Student
1872 SBB CFF FFS
1803 Coop
1674 Louis Vuitton
1532 UBS
1365 Real Madrid C.F.
1333 Swisscom
1254 Credit Suisse
1067 Ecole polytechnique fédérale de Lausanne (EPFL)
864 FC Barcelona
840 Swiss International Air Lines
810 ETH Zürich
777 CHUV / Centre hospitalier universitaire vaudois
764 Etat de Vaud
686 Hôpitaux universitaires de Genève
671 Manor
598 Université de Genève
574 Universität Zürich
562 Universitätsspital Zürich
556 Nestlé
555 Université de Lausanne
542 Rolex
518 AXA Switzerland
512 Gucci
510 Landwirt
497 Etat de Genève
436 McDonald's
422 Novartis
... ...

Apercevoir en début de listing, l'armée Suisse, est particulièrement parlant.

Sociologie des victimes

Avec les autres données de l'archive Suisse des fuites Facebook, il est possible de construire une véritable sociologie des victimes. Voici un certain nombre de tableaux de proportions des profils des utilisateurs, et graphique.

Genre

Nombre % Genre
820'815 51.56% male
615'429 38.66% female
155'795 9.79% <VIDE>
1'592'039 100.00%  

 Statuts

Nombre % Statuts
144'463 44.62% Married
88'382 27.30% Single
65'046 20.09% In a relationship
9'432 2.91% Engaged
5'402 1.67% Divorced
3'171 0.98% Separated
2'458 0.76% It's complicated
1'951 0.60% Widowed
1'565 0.48% In a domestic partnership
1'381 0.43% In an open relationship
533 0.16% In a civil union
323'784 100.00%  

Prénom

Prénom par popularité

Nombre Prénom
10871 Daniel
8163 Thomas
7518 Sandra
7323 Marco
7133 Michael
6727 Peter
6681 Patrick
6647 David
6604 Christian
6209 Maria
... ...

Nom

Nom de famille par popularité. On retrouve les noms alémaniques, mais aussi portuguais et espagnols, intégrés depuis longtemps en Suisse.

Nombre Nom
6'164 Müller
4'495 Meier
3'935 Silva
3'581 Schmid
3'245 Santos
3'112 Ferreira
2'843 Pereira
2'715 Keller
2'404 Schneider
2'385 Weber
2'230 Meyer
... ...

Distribution des années de naissance

Dans l'archive Suisse des fuites Facebook, on trouve l'information de date de naissance avec l'année, pour plus de 38'000 personnes. Il est donc possible de regrouper les comptes par année, et de faire un tableau ainsi qu'un graphe de distribution des années de naissance, donc de l'âge de la victime de fuite (en se basant sur l'année 2019 de la fuite). Voici donc le graphe :

L'âge avec le plus grand nombre de comptes est 25 ans. 3/4 des comptes se trouvent dans la tranche d'âge 20 à 44 ans. La moitié des comptes se trouvent dans la tranche d'âge 21 à 34 ans.

Lieu de résidence et lieu d'origine

On trouve aussi 2 autres champs, qui doivent correspondre au lieu de résidence et au lieu d'origine. On voit la forte importance de ces données volées pour Genève notamment (Zürich étant plus facilement utilisé comme "ville par défaut" lors des choix liés aux données informatiques). Pour les villes d'origine on retrouve l'importance des Portugais et Kosovars. Ces 2 données donnent les tableaux suivants :

Nombre Ville de résidence (?)
84266 Zürich
58432 Geneva
29388 Lausanne
22898 Basel
21591 Bern
14076 Luzern
10981 Lugano
9236 Saint Gallen
8807 Fribourg
8104 Winterthur
7806 Neuchâtel
4777 Biel
4330 Sion
4104 La Chaux-de-Fonds
... ...

 

Nombre Ville d'origine (?)
34772 Zürich
23195 Geneva
14504 Bern
13352 Basel
11450 Lausanne
9752 Luzern
5381 Lugano
5246 Saint Gallen
4918 Fribourg
4752 Winterthur
4080 Neuchâtel
3042 Kosovo
2760 Biel
2693 Porto
... ...

Implications

Précédemment, les grosses entreprises GAFAM, pouvaient mener ces études avec leurs données. Mais avec des fuites massives de la sorte, l'ensemble de l'analyse de toutes les données nominales finissent par pouvoir être utilisées par n'importe qui. Si tout finit en publication «libre», le sujet de l'anonymité des données de recherches, finit par n'avoir même plus aucun sens ...

Le pays, le reste du monde

Les citoyens sont de plus en plus conscients que les GAFAM possèdent un grand nombre d'informations les concernant. Mais lorsqu'une grosse entreprise de réseau social voit une quantité massive de ses données volées et publiées, les individus concernés mettent par leurs données inévitablement en danger non seulement leur vie privée, mais aussi les entreprises et institutions du pays dans lesquelles ils travaillent (grande porosité entre la vie privée et la vie professionnelle d'un individu). De plus, une grande quantité de données concernant un grand nombre d'entreprises et d'institutions importantes d'un pays, y compris son armée, finissent par mettre en danger la sécurité globale du pays (porosité entre le privé, le public, et le national) … Et ces dangers qui ici sont mis en avant en rapport à un petit pays comme la Suisse, concernent aussi tous les autres pays du monde impactés par ces fuites. Il y a donc aussi un risque mondial (multinationales, communautés culturelle inter-pays, communautés politiques, religions etc). Les conséquences dépassent donc très largement la seule implication d'une seule entreprise même comme Facebook ...

Compilations de données

Les archives de données devenant de plus en plus nombreuses, mais aussi de plus en plus massives, la compilation de données entre des sources de vol différentes, permettent de construire de profils de personnes de plus en plus précis, couvrant l'ensemble de tout le monde numérique au sens très large, mais des volumes de victimes aussi de plus en plus géants (les grosses archives récentes de mots de passe finissant par couvrir en nombre quasi la moitié de toute l'humanité …?). Il n'est donc plus possible de réfléchir en terme d'une fuite spécifique, mais de la somme de toutes les fuites qui ont eu lieu par le passé … Et donc l'implication de tout le numérique et ses failles sur toute l'évolution économique mondiale (la montée globale massive des fraudes et escroqueries), mais aussi les implications de l'évolution des communautés de cette humanité au sens large ...

Ayant pris connaissance d'une page web avec un contenu "suspect", j'ai pu remarquer un comportement plus étrange. Le site était censé être un site de blog ou apparenté, mais la page ne donnait pas du tout le même contenu en fonction de si elle était surfée depuis un mobile (tablette ou mobile) ou un poste fixe (desktop). Donc la page d'arnaque, une alerte que la Chine allait soi-disant utiliser une crypto-monnaie comme monnaie principale, ne s'affichait que sur les mobiles.

L'analyse technique

L'identification du type de navigateur du client, pour afficher un contenu hybride différencié, devait se faire via le paramètre "User Agent" du navigateur. Paramètre qui n'est normalement pas modifiable par l'utilisateur. Mais le navigateur Brave sur Android permet l'option "Version pour ordinateur", qui modifie notamment le paramètre "User Agent" pour se faire passer pour un navigateur desktop. L'utilisation de cette option permet en effet d'afficher les 2 versions de la même page et de voir ce contenu "hybride" différencié. Voici les 2 printscreens, on peut vérifier que l'url de page affichée est bien la même :

Page normale

Page normale

Page arnaque

Page arnaque

De plus, la page d'arnaque usurpe l'identité du media financier Forbes. Dans le texte on trouve aussi sans doute de faux dires du milliardaire Richard Branson (de plus écrit avec une erreur "Bronson", vraisemblablement volontaire ...?).

Ci-dessous le printscreen de l'option de menu du navigateur Brave sur Android, pour obtenir l'un où l'autre des contenus.

Mais l'utilisation forcée du "User Agent" pour récupérer la page depuis une ligne de commande sur un desktop (i.e. par exemple "curl" ou "wget") ne fonctionnait pas. Si on modifiait avec un "User Agent" Android, la page "normale" (non arnaque) était retournée, ou parfois même aucune donnée. Pour cela il fallait récupérer tous les paramètres d'en-tête de requête utilisés par un vrai navigateur Brave Android et modifier toutes les en-têtes du client ligne de commande pour se faire passer quasi à l'identique d'un vrai navigateur Android. Donc le site de blog, avait un code assez poussé pour analyser l'ensemble des paramètres du client et non pas seulement le simple paramètre "User Agent" de la requête reçue par le client pour tenter de l'identifier.

Ceci permettant de récupérer la page finale d'arnaque, celle-ci est une modification du site, avec un simple tage html "iframe" pointant sur un site très différent du site dot-quantum.com de départ. Il n'est pas aisé de savoir d'ailleurs si le site "dot-quantum.com" est un vrai site de blog qui a été piraté pour y insérer un détournement de redirection d'arnaque, où si c'est un vrai site contrôlé par des arnaqueurs, déguisé en faux site de blog, mais créent la redirection d'arnaque que pour certaines victimes mobiles ...?

Ce-dessous voici l'analyse via le site url-scan de l'arnaque :

https://urlscan.io/result/537ea895-42c0-4619-92dd-c35aac75d2a9/

On trouve dans une discussion reddit datant de 22 jours, le même genre de discussion sur la même arnaque avec un contenu différencié. Mais il semble que le niveau d'identification via le simple "User Agent" ait été modifié depuis ...?

https://www.reddit.com/r/JimBrowningOfficial/comments/livcn7/url_leads_to_scam_website_only_when_accessed_from/

Implications sociales

Il s'agit d'une arnaque vue plusieurs fois ces derniers temps, notamment dans de fausses crypto-monnaies pour tenter de voler des investisseurs trop naïfs. Mais le fait de différencier ici l'arnaque affichée que pour les utilisateurs mobiles a un effet pernicieux encore plus grand. Les fraudeurs savent très bien que la majorité des "utilisateurs lambda" surfent de plus en plus sur le net avec des mobiles. Mais les professionnels, administrateurs systèmes, développeurs, responsables sécurité, eux vont préférer et utiliser des ordinateurs desktop. Ceci permet donc de "cacher" l'arnaque, aux professionnels pouvant l'analyser et dévoiler publiquement la supercherie, et de ne cibler au contraire que les utilisateurs avec un faible niveau de connaissance technique, étant de plus en plus majoritaires dans les surfs mobiles. De plus si un utilisateur utilise d'abord son mobile puis son ordinateur de bureau, il ignorera sans doute la seconde page "normale" en croyant que le site a simplement changé. L'arnaque uniquement pour mobile a encore un autre avantage. Sur le mobile il n'est pas aisé d'afficher les code html des pages et d'y faire des analyses. En ne ciblant les arnaques que sur les mobiles, ou autres infections virales du genre, on limite ainsi la trop grande rapidité des professionnels de sécurité de repérer et analyser ces contenus. On augmente ainsi le potentiel de "nuisance impunie" des contenus malveillants.

Concernant la mouvance vers les mobiles, elle est notamment poussée par des grandes entreprises et notamment instituts financiers vantant de plus en plus l'utilisation de la "finance mobile" ou "banque mobile". Les arnaqueurs ont ici très bien compris ce phénomène, et cerné aussi comment l'utiliser à leur avantage. L'écosystème des mobiles devient donc beaucoup plus attractif pour y répandre des arnaques virales. La viralité des diffusions via les mobiles et tous les logiciels de communication qu'on y trouve (skype, whatsapp, telegram, etc...) augment encore la capacité des mobiles à devenir des plates-formes d'harponnage de choix. Et ce choix différencié de contenu pour le mobile est bien là pour montrer ce problème de manière flagrante.

Des débouchés pernicieux pourraient augmenter si cette méthode se répand de plus en plus dans les arnaques ...? En effet on peut imaginer des sites d'arnaques, ou plus méchamment tentant de détourner des jeunes ou mineurs qui sont plus grands utilisateurs des mobiles, et les parents qui surveillent leurs enfants mais en se servant d'ordinateurs desktop familiaux ne verraient pas les arnaques qui ne seraient que ciblées contre les jeunes victimes ...? Ici la différenciation de "contenus hybride" du web peut avoir des impacts dommageables sociaux encore plus nuisibles. Le discours global des entreprises tentant de minimiser l'insécurité sur les mobiles, ne créant qu'un flou qui augmente encore ces dommages potentiels.

Avec l'explosion de la pandémie mondiale du coronavirus, se répand en outre le désir légitime de maîtriser sa propagation, mais aussi celui d'essayer de le simuler et de contrôler les populations qui sont à la source de son accélération. Dans cette dernière démarche la technologie est vue comme le « sauveur » inespéré. Malheureusement des courses technologiques développées dans l'extrême hâte peuvent engendrer d'autres dégâts tout aussi graves que le problème de départ qu'on essaye de combattre.

À ce titre plusieurs projets d'applications mobiles se sont développés comme moyens de surveiller la propagation du coronavirus. Certaines de ces applications mobile ne sont que des relais de données statistiques et cartes géographiques, ou d'autres ne gèrent que les questions-réponses concernant la maladie. Ce ne sont pas ces applications-ci dont je parle ici, mais bien les applications mobiles oeuvrant dans la simulation ou le tracking des contaminations. Très vite la surveillance via mobile des citoyens, est devenue un problème de vie privée. Alors a émergé un protocole qui semblait moins intrusif : le Bluetooth. Sur le plan de la protection de la vie privée c'est peut-être le cas, mais certainement pas sur le plan des risques informatiques.

En Europe le projet PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing) a émergé, notamment lié à l'EPFL. Tous les gouvernements semblent courir vers ce projet ou des projets similaires : la Suisse, l'Allemagne, l'Angleterre avec une application spécifique du NHS, l'Autriche avec « Stopp Corona », en France plusieurs projets semblent se lancer dans la course, à Singapour est sortie précédemment l'application TraceTogether. La liste ci-dessus n'est sans doute pas exhaustive.

Même si des avis opposés semblent se dresser sur le problème de la vie privée, très peu parlent du problème des failles de sécurité. En 2019 de nombreuses failles de sécurité sont sorties concernant le protocole Bluetooth notamment SweynTooth concernant un grand nombre de devices notamment médicaux, ou l'attaque KNOB concernant les mobiles Apple avec plus de 1.4 milliards de mobiles vulnérables à l'époque de sa sortie.

Mais plus récemment, est sortie début février 2020, la faille critique BlueFrag concernant les mobiles Android, avec plus de 42 % de mobiles Android vulnérables soit 1 milliard de mobiles vulnérables estimé début mars. Cette faille-ci est sans doute la plus problématique concernant les applications de tracking Coronavirus via Bluetooth. Notamment parce que cette faille est « wormable » c'est à dire pouvant amener des infections automatiques de malwares à de nombreuses victimes et ce sans interaction nécessaire de l'utilisateur. Concernant cette faille, du code ProofOfConcept est déjà disponible permettant aux développeurs de malwares de s'en inspirer pour tenter de monter des attaques.

De plus 2 autres aspects fond perdurer le nombre d'appareils Android vulnérables au cours du temps. Même si Google a publié un correctif, les autres fabricants ont 90 jours disponibles avant d'être obligés d'appliquer un correctif. Les fabricants de mobiles ne sont aussi pas obligés de fournir des correctifs pour des mobiles au-delà de 2 ans d'ancienneté. Les mobiles de version Android 8 ayant l'exploitation de cette faille la plus critique, ayant plus de 2 ans d'ancienneté, n'auront donc sans doute jamais un correctif de vulnérabilité. Ces aspects rendant la taille de l'écosystème Android vulnérable très grande au cours du temps.

Quelques rares articles concernant les applications mobiles de tracking Bluetooth parlent de travail orienté pour réduire les failles de ces applications. Or ces failles , notamment BlueFrag, sont des failles système, donc le niveau de sécurité des applications elles-mêmes ne changeront rien à la porte ouverte aux infections. Une application mobile de simulation d'infection coronavirus utilisant le Bluetooth pour échanger des données nécessitera forcément que la fonction Bluetooth soit activée sur le mobile. Des malwares pourront donc forcément se servir de ce même canal pour leurs contaminations numériques. Et le nombre de victimes potentielles très grand dans un espace de temps très court, sera une aubaine trop importante pour que les développeurs de malwares ne s'en servent pas pour des infections à large échelle.

Autre aspect, le protocole Bluetooth est un protocole local. Donc toute mesure de protection de réseau au sens large mise en place par des entreprises de télécoms ne serviront à rien quant aux risques cités ici. De plus la responsabilité du possesseur du mobile lui-même sera maximum au regard à une contamination potentielle par simple voisinage Bluetooth.

Tous les aspects cités soit, dangerosité d'une faille critique récente (soit BlueFrag), taille conséquente d'un écosystème vulnérable large sur le moyen terme (nombre de mobiles proches du milliard), nombre important d'utilisateurs bénévoles de nombreux pays voulant faire bénéficier la recherche sur le coronavirus permettant les attaques Bluetooth via l'ouverture du canal Bluetooth à cause des applications Coronavirus, mais aussi les gouvernements poussant à ces projets de mesures épidémiologiques, semblent réunir tous les éléments nécessaires pour qu'une épidémie numérique cette fois-ci, puisse se propager rapidement avec un nombre important de victimes et des conséquences larges sur le long terme au niveau des vols de données, des escroqueries, des piratages de moyens de paiement, de comptes bancaires etc.

Avec l'infection grandissante du Coronavirus dans le monde entier les gouvernements prennent les mesures qui semblent de bon sens, hier Emmanuel Macron en France, et tout à l'heure lors d'une conférence de presse, le Conseil Fédéral en Suisse. Dans la plupart des cas, les gouvernements poussent les entreprises à permettre aux employés de faire du télétravail. Les écoles obligatoires et grandes écoles sont fermées, ou partiellement fermées en favorisant les cours à distance.

Ce que l'actualité « standard » ne parle pas ces derniers temps, c'est la montée de manière très agressive des gangs de ransomware, du nombre et de l'étendue des infections, mais cette fois-ci numériques. Plusieurs d'entre eux ces dernières semaines ont commencé à diffuser en ligne des lots de documents volés chez les victimes précédemment à leur infection.

Ces 2 problèmes qui semblent ne pas être liés pourraient l'être plus qu'il n'y paraît. Le travail à distance, donc l'utilisation de VPN, ou d'autres logiciels de partages, va impliquer les environnements informatiques des particuliers. Ceux-ci sont moins sécurisés que les lieux de travail dans les entreprises (firmware de modems, mises à jour d'OS et de logiciels, WIFI publics, usages plus laxistes des réseaux sociaux et services non professionnels etc). Donc le travail à distance favorise aussi la mise en danger numérique des entreprises, surtout quand ceci devient une nouvelle norme sociale poussées par des gouvernements pour toute une société entière.

De plus, l'arrivée ces derniers jours de failles critiques concernant les systèmes Windows, notamment depuis mercredi celle concernant la dernière version du protocole des partages Windows (SMBv3), qui de plus est une faille « wormable », c'est à dire une faille permettant d'infecter un grand nombre de machines et ce sans action nécessaire de l'utilisateur, va peut-être encore aggraver la situation sur le plan numérique. Les semaines précédentes, les failles concernant des systèmes à distance Citrix, ou des VPN de firewall, ont permis la diffusion des ransomwares chez de nombreuses entreprises victimes.

Toutes les circonstances semblent réunies, pour que des changements de comportements, même s'ils sont souhaitables d'un point de vue social, favorisent une étendue d'infections et de piratages numériques. Dans un environnement informatique global, la sécurité au sens large n'est pas suffisante pour protéger numériquement l'arrivée de tous ces changements de comportements, et freiner tous ceux qui s'empresseront d'exploiter l'arrivée de cette manne d'imperfections permettant d'accéder à de nombreuses nouvelles victimes.

Les rapports récents montrent une très forte croissance des attaques de mobiles. Plus de 5 millions de packages malveillants installés sur les mobiles avec de nombreuses techniques d'attaques (DNS hijacking, SMS spam, Droppers, Banking Trojan ...). Le nombre d'attaques utilisant un logiciel mobile malveillant a doublé par rapport à l'année passée, soit 116 millions d'attaques. Les Trojans bancaires (chevaux de Troie) ont aussi été multiplié par 1,6.

"Users of mobile devices in 2018 faced what could be the strongest cybercriminal onslaught ever seen."

Kapsersky, Mobile malware evolution 2018

 

Concernant les attaques purement financières sur le mobile les éléments sont même plus dramatiques. En 2018 le nombre de malwares bancaires Android installé était de 1.8 millions. Ce nombre a triplé par rapport à 2017. Dans le même ordre, les attaques de Phishing prolifèrent de plus belle.

Kapsersky, Financial Cyberthreats in 2018

 

De l'autre côté les banques en suisse, continuent avec énergie les campagnes marketing vantant les avantages de l'ebanking mobile, dans un discours qui se veut jovial pour ne pas dire euphorisant ...

 

Pourquoi un tel discours "insouciant" en dépit des risques croissants sur le mobile ? Est-ce que la pression de la concurrence et de la nécessité de services mobile "comme les autres" est plus forte que toute décision basée sur la prudence ?

Est-ce que les personnes du marketing responsable de la promotion du mobile oublient que lorsqu'un mobile est compromis par un malware ce n'est pas juste une application qui est compromise mais toute la plate-forme mobile, avec des risques de récupération des fichiers caches, interception de communication, redirection de trafics, phishing de sites bancaires, copies d'écrans de données confidentielles, vol de documents etc ...

Vraie campagne de publicité : Voir

Fausse application : Lire

(no comment ...)