Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Près de 50 millions de comptes Facebook affectés par une faille de sécurité
Considérée comme étant la plus importante de l'histoire du réseau social

Le , par Stéphane le calme

269PARTAGES

15  0 
Près de 50 millions de comptes Facebook ont ​​été compromis par une attaque qui a permis aux pirates de prendre le contrôle des comptes des utilisateurs, a révélé Facebook vendredi. Le réseau social a précisé que la faille a été découverte par ses ingénieurs le mardi 25 septembre. Jeudi, un correctif était déjà disponible. Bien entendu, Facebook a assuré que les utilisateurs dont les comptes ont été affectés seront notifiés.

« Je suis content que nous ayons trouvé cela et corrigé la vulnérabilité », a déclaré Mark Zuckerberg lors d’une conférence téléphonique avec des journalistes vendredi matin. « Mais c'est un problème que cela s'est produit en premier lieu. Je pense que cela souligne les attaques auxquelles notre communauté et nos services sont confrontés ».

La violation de sécurité, considérée comme la plus importante de l’histoire de Facebook, est particulièrement grave car les pirates ont volé des « jetons d’accès », une sorte de clé de sécurité permettant aux utilisateurs de rester connectés à Facebook via plusieurs sessions de navigation. Posséder un jeton permet à un attaquant de prendre le contrôle total du compte de la victime, y compris de se connecter à des applications tierces utilisant Facebook Login.

« Il s’agit là d’un autre indicateur qui montre que le Congrès doit prendre des mesures pour protéger la vie privée et la sécurité des utilisateurs des médias sociaux », a déclaré dans un communiqué le sénateur Mark Warner, un démocrate de Virginie et l’un des critiques les plus virulents du Congrès. « Une enquête approfondie devrait être menée rapidement et rendue publique afin que nous puissions mieux comprendre ce qui s'est passé ».

Lors de la conférence téléphonique de vendredi, Guy Rosen, vice-président de la gestion des produits chez Facebook, a refusé de dire si l’attaque aurait pu être coordonnée par des pirates informatiques soutenus par un État-nation.

« L’enquête est encore à ses débuts et il est difficile de savoir qui est derrière tout cela », a déclaré Gary Rosen, qui a expliqué que Facebook travaille de concert avec le FBI. Les responsables de l'entreprise ne connaissent ni l'identité ni l'origine des attaquants et ils n'ont pas pleinement évalué l'étendue de l'attaque ou si des utilisateurs particuliers ont été ciblés. « Nous ne le saurons peut-être jamais », Il a noté que l'ampleur et la complexité du piratage auraient nécessité « un certain niveau » d'expertise.


Une violation de la vie privée qui s’appuie sur un outil censé améliorer la confidentialité

Selon deux personnes familières avec l’enquête, trois failles dans les systèmes de Facebook ont ​​permis à des pirates d’accéder à des comptes d’utilisateurs, y compris ceux des dirigeants Mark Zuckerberg et Sheryl Sandberg. Les attaquants auraient pu accéder à des applications telles que Spotify, Instagram et des centaines d'autres applications permettant aux utilisateurs de se connecter à leurs systèmes via Facebook.

Les bogues logiciels étaient particulièrement délicats pour une entreprise fière de son ingénierie: les deux premiers ont été introduits par un outil en ligne destiné à améliorer la confidentialité des utilisateurs. Le troisième a été introduit en juillet 2017 par un outil destiné à télécharger facilement des vidéos d'anniversaire.

Concernant l’outil destiné à améliorer la confidentialité des utilisateurs, il s’agit de la fonctionnalité « Aperçu du profil en tant que », proposée par Facebook en juillet 2017. Elle permet aux utilisateurs de voir comment est affiché le profil à certaines catégories d’utilisateurs (amis, ne figurant pas dans la liste d’amis, personnes spécifiques dans sa liste d’amis). La société ne sait pas encore quand le piratage a eu lieu, mais elle a déclaré avoir ouvert une enquête après avoir découvert une activité inhabituelle le 16 septembre.

Une attaque dans un contexte critique

La faille de sécurité survient à un moment délicat pour Facebook, qui a fait face à des critiques croissantes sur des questions telles que l’ingérence électorale étrangère aux États-Unis (notamment par les fake news), les discours de haine (aussi bien aux États-Unis qu’en Europe) et la confidentialité des données suite au scandale Cambridge Analytica.

Selon Facebook, l’attaquant a exploité trois bogues introduits dans la fonctionnalité « Afficher en tant que» du site en juillet 2017. « Afficher en tant que » permet aux utilisateurs de voir à quoi ressemble leur profil aux autres utilisateurs. La société ne sait pas encore quand le piratage a eu lieu, mais elle a déclaré avoir ouvert une enquête après avoir découvert une activité inhabituelle le 16 septembre.


Aussi, outre les 50 millions de comptes dont les jetons d’accès ont été utilisés, Facebook a déclaré qu’il demanderait aux 40 millions d’utilisateurs supplémentaires de l’outil « Afficher en tant que » de se déconnecter de leurs comptes par mesure de précaution. Cela réinitialisera les jetons d'accès de ces utilisateurs, protégeant ainsi leurs comptes.

« Les violations ne s’attaquent pas seulement à notre vie privée. Elles créent des risques énormes pour notre économie et notre sécurité nationale », a déclaré Rohit Chopra, un commissaire de la Federal Trade Commission, dans un communiqué. « Le coût de l'inaction augmente et nous avons besoin de réponses ».

« Cela nous a vraiment montré que l’environnement numérique actuel est si complexe qu’une violation sur une plateforme unique, en particulier une plateforme aussi populaire que Facebook, peut avoir des conséquences beaucoup plus importantes que ce que nous pouvons envisager au début. de l'enquête », a déclaré April Doss, présidente de la cybersécurité du cabinet d'avocats Saul Ewing.

En savoir plus sur la fonctionnalité Aperçu du profil en tant que

Source : NYT

Voir aussi :

Un hacker dit qu'il va supprimer en direct la page Facebook de Zuckerberg, dans une attaque prévue pour ce dimanche
Avez-vous donné à Facebook votre numéro de téléphone pour plus de sécurité et de confidentialité? Il l'a utilisé pour des annonces publicitaires
Google et Facebook s'engagent à suivre le code européen de bonnes pratiques contre la désinformation, Bruxelles attend de voir les résultats
Brian Acton, co-fondateur WhatsApp, explique pourquoi il est parti de Facebook et a abandonné 850 millions de $
Les deux cofondateurs d'Instagram démissionnent de leurs postes chez Facebook, quelques mois après le départ du cofondateur de WhatsApp

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Sodium
Membre extrêmement actif https://www.developpez.com
Le 02/10/2018 à 13:05
Tu te fais pirater, tu payes une amende! Je comprends pas trop le principe....
Je n'ai pas suivi l'affaire, mais si le piratage est dû à un manque de rigueur dans sécurité du système, il est logique de faire payer une amende si la faille a donné accès à des données personnelles.
6  0 
Avatar de GordonFreeman
Membre averti https://www.developpez.com
Le 02/10/2018 à 17:31
Simple remarque mais je pense que ce serait plutôt pas mal dans ce genre de cas que ce soit les personnes lésées qui profitent de cette amende.

Au final, les personnes affectées par ce problème voient leurs données dans la nature et n'ont aucune forme de compensation.

Raisonnement utopique je sais bien, mais il fait bon rêver des fois....
6  0 
Avatar de Itachiaurion
Membre averti https://www.developpez.com
Le 01/10/2018 à 10:02
"l’étonnement des internautes fut grand le vendredi dernier, lorsque les informations, selon lesquelles Facebook empêcherait la publication des articles de Guardian et d’ d’Associated Press concernant la compromission des 50 millions de comptes"
Franchement? Il y en a que ça étonne? Je ne suis pas sur FaceBook mais rien de tout cela m'étonne, même en usant de l'excuse de spam, je ne vois pas comment des journaux pourrais spammer en ne postant que 2-3 article lié a cette énorme faille. Le spam en l’occurrence c'est en général concernant un utilisateur qui poste plein de message, pas plein d'utilisateur qui veulent relayer une information importante aux autres. Ce qui m'étonne c'est qu'il y est encore des gens qui pense que Facebook est un bisounours tout gentil. J’espère au moins qu'ils on prit contact avec les 50 millions ou plus (j'avais entendu qu'il pouvais y avoir 40 millions de compromissions en plus) pour s'excuser.
2  0 
Avatar de a028762
Membre confirmé https://www.developpez.com
Le 01/10/2018 à 10:46
Il n'y a plus qu'à attendre que Facebook rachète Twitter
2  0 
Avatar de Marco46
Modérateur https://www.developpez.com
Le 01/10/2018 à 22:35
En résumé : Explosion combinatoire des cas de tests -> catastrophe.

Quand c'est trop gros, c'est trop gros !
2  0 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 15/10/2018 à 18:32
Citation Envoyé par Elros Voir le message
Incomparable, Elon Musk s'est fait épingler par le gendarme de la bourse pour une fausse annonce qui a fait baisser l'action Tesla. Ce n'est pas la première qu'il a des problèmes avec la SEC.
Je sais bien que l'organisme de contrôle n'est pas le même, et que la faute n'est pas la même. Je met les deux cas côté à côte car cela montre la différence de protection entre des actionnaires et des utilisateurs.
2  0 
Avatar de Matthieu76
Membre éclairé https://www.developpez.com
Le 02/10/2018 à 10:52
Tu te fais pirater, tu payes une amende! Je comprends pas trop le principe....
1  0 
Avatar de BabarG
Futur Membre du Club https://www.developpez.com
Le 02/10/2018 à 17:01
Votre article est fort intéressant et apporte des éléments pertinents sur la faille et ses conséquences.

Toutefois, je trouve dommage que vous gachiez votre message avec une formulation inadaptée et fausse:

C’est la substance des avis des internautes sur le sujet.
Votre argument est un appel à la popularité pour jusitifier un point de vu. Le point de vu "les amendes liées à la RGPD sont trop importantes" peut être défendu ou contredit. Toutefois l'appel à la popularité pour justifier l'argumentaire est fallacieux.
En plus d'être fallacieux cet argument vous fait passez à côté de toutes justifications et vous ne donnez aucun fait pour étailler cette théorie "amendes trop importantes".

J'espère qu'on aura l'occasion de lire vos prochains articles sans un argumentaire fallacieux en conclusion.
1  0 
Avatar de Elros
Membre éprouvé https://www.developpez.com
Le 15/10/2018 à 9:34
Citation Envoyé par benjani13 Voir le message
Quelques actionnaires spéculateurs se prennent les pieds dans le tapis à cause d'un tweet d'Elon Musk, et Musk est mis à la porte (de façon justifié ou non). Au minimum 14millions de personnes flouées de leur données personnelles, et pas de soucis Zuckerberg reste en place...
Incomparable, Elon Musk s'est fait épingler par le gendarme de la bourse pour une fausse annonce qui a fait baisser l'action Tesla. Ce n'est pas la première qu'il a des problèmes avec la SEC.

Elros
1  0 
Avatar de captaindidou
Inactif https://www.developpez.com
Le 15/10/2018 à 10:36
mais putain,quand est-ce que vous allez arrêter d'appeler ces gens-là, des hackers ?

Ce sont des crackeurs, des blackhats ou tout simplement des cybervoleurs.
1  0