La même tactique avait été utilisée en mai dernier contre des membres de Facebook quand on a cherché à appâter les internautes  avec une vidéo qui montrant la mort d'Oussama Ben Laden.

Une fonction destinée à bloquer les attaques self-XSS

Juste après ces attaques Facebook avait assuré que ses fonctions de sécurité avaient été améliorées, en particulier une, conçue pour contrecarrer certaines attaques self-XSS. « Lorsque nos systèmes détecteront que quelqu'un a collé un code malveillant dans la barre d'adresse, nous nous ferons un devoir de vérifier que la personne voulait vraiment faire cela,  tout en l'avertissant que ce n'est pas une bonne idée de le faire », a déclaré Facebook. « Nous travaillons également avec les principaux fournisseurs de navigateurs pour  résoudre le problème sous-jacent qui permet aux spammeurs de faire cela. »

Hier, Facebook a reconnu que le caractère pornographique des attaques de cross scripting avait franchi ces défenses. « Nous avons depuis peu adapté nos systèmes aux variantes self-XSS du type de celles de Ben Laden, mais cette attaque utilise un vecteur de mails précédemment inconnu», a déclaré un porte-parole de Facebook dans un courriel posté mercredi. «Depuis, nos systèmes ont été améliorés afin de mieux détecter et de bloquer cette variante. »

Une propagation qui complique le traçage

Facebook a également précisé qu'il avait identifié les personnes responsables de ces intrusions et qu'il travaillait avec ses services juridiques pour assurer un suivi approprié des conséquences.

Alors que BitDefender a contredit le fait qu'Anonymous soit à l'origine de ces attaques, d'autres chercheurs ont indiqué qu'ils ignoraient toujours comment les hackers avaient réussi à duper les utilisateurs tout en créant ces spams. «Nous ne disposons pas encore d'informations solides ni de captures d'écran », ont reconnu de leur côté des chercheurs de l'éditeur de solutions de sécurité Commtouch. D'après eux, en raison de la propagation de ces images, il est difficile de déterminer l'origine de ces attaques. Les internautes  peuvent empêcher les attaques self-XSS en refusant de copier et de coller du JavaScript - ou toute autre chose - dans les barres d'adresses de leur navigateur,  ont conseillé ces experts.