C’est une autre déroute de Facebook qui pourrait avoir des conséquences énormes. Après avoir informé qu’une faille a permis une fuite de données de 50 millions de comptes, le réseau social est revenu avec plus de détails techniques sur ce problème de sécurité.
Tout d’abord, Facebook a admis que le bogue aurait potentiellement exposé les données des utilisateurs pendant au moins 14 mois. Quant au nombre des utilisateurs affectés, il pourrait atteindre jusqu’à 90 millions de comptes au lieu des 50 millions annoncés auparavant.
Mais comment en est-on arrivé là ? Facebook a révélé que les hackers ont exploité une combinaison de trois bogues qui a permis aux hackers de s’emparer de jetons d’accès attribués à des dizaines de millions de comptes d’utilisateurs. Grâce à ces jetons, les attaquants ont été en mesure de se connecter aux comptes Facebook sans avoir besoin de connaître leurs mots de passe, permettant au passage aux hackers de mettre la main sur les informations privées, photos et vidéos des utilisateurs.
Pire encore, cette fuite affecte aussi les sites et applications tiers connectés à chaque compte Facebook.
Cette attaque aurait eu aussi un impact sur les sites et applications tierces connectés à chaque compte Facebook piraté. En vraisemblance, une fois les hackers ont accès aux comptes d’utilisateurs, ils peuvent se connecter dans les sites et applications liés à chaque compte.
Dans une première note de sécurité, Facebook a expliqué que les attaquants ont abusé la fonctionnalité « Aperçu du profil en tant que » proposée par Facebook en juillet 2017. Cette fonctionnalité censée améliorer la confidentialité des utilisateurs a permis aux hackers de s'emparer des jetons d’accès.
Cette vulnérabilité a été le résultat de trois différents bogues :
Premièrement : la fonctionnalité “Aperçu du profil en tant que” est censée permettre aux utilisateurs de visualiser leur profil en tant que quelqu’un d’autre. Cependant, pour un type de compositeur (la zone qui permet de poster du contenu sur Facebook), plus spécifiquement la version qui permet aux gens de souhaiter un bon anniversaire à leurs amis, cette fonctionnalité a incorrectement permis de poster une vidéo.
Deuxièmement : une nouvelle version de l’uploader de vidéo (l’interface présentée en raison du premier bogue), introduite en juillet 2017, a généré de manière erronée un jeton d’accès qui a les permissions de l’application mobile de Facebook.
Troisièmement : quand l'uploader vidéo apparaît à partir de “Aperçu du profil en tant que”, il a généré un jeton d’accès non pas pour vous, mais pour l’utilisateur que vous avez cherché.
« C’est cette combinaison de ces trois bogues qui est devenue une vulnérabilité : en utilisant la fonctionnalité ‘Aperçu du profil’, le code n’a pas supprimé le compositeur qui laisse les gens vous souhaiter un bon anniversaire ; l’uploader de vidéo générait un jeton d’accès alors que cela ne devait pضs avoir lieu ; et quand le jeton d’accès était généré, il n’était pas pour vous, mais la personne cherchée. Il [jeton] était alors disponible dans une page HTML, où il pouvait être extrait par les attaquants et exploité pour se connecter en tant qu’un autre utilisateur, » a écrit Pedro Canahuati, Vice-président de l’Ingénierie, Sécurité et Confidentialité chez Facebook.
En lisant cette description de la vulnérabilité, on se rend compte que chaque compte de Facebook a été menacé d’être piraté. Néanmoins Facebook estime que seulement 50 millions de comptes ont été réellement « directement affectés ». Une autre 40 millions de comptes ont été soumis à une réinitialisation des jetons d’accès en tant que mesure de précaution. Facebook a informé avoir comblé la faille et avoir déconnecté la totalité des 90 millions d’utilisateurs pour invalider leurs jetons d’accès. Si votre compte a été déconnecté seul récemment, vous savez maintenant que ça fait partie des mesures prises par Facebook.
Lors d’une conférence de presse tenue vendredi, Facebook a noté avoir identifié la vulnérabilité après avoir remarqué mardi un pic suspect de l’activité des utilisateurs. L’attaque a été d’une grande échelle a informé l’entreprise. Après des investigations, le réseau social s’est rendu compte que des hackers ont exploité l’API du site pour automatiser le processus de collecte des données d’utilisateurs à partir de leurs profils.
Même les comptes de Zuckerberg et Sheryl Sandberg (COO de Facebook) ont été affectés. Facebook a informé avoir contacté les autorités et corrigé la faille.
Il n’est pas clair qui est à l’origine de cette attaque ; lors de la même semaine, un hacker a dit qu’il va supprimer en direct la page Facebook de Zuckerberg. Une chose qui a poussé certains à lier les deux faits. Néanmoins, Facebook assure qu’il n’existe aucune relation entre la fuite et ce hacker présumé.
Cette attaque est la dernière d’une série d'événements qui ont terni l’image du réseau social auprès du grand public. En mars, le quotidien américain New York Times et britannique The Guardian ont publié des informations relatives à une campagne de manipulation orchestrée par l’entreprise Cambridge Analytica, une société spécialisée dans l’analyse de données (data mining), ِce scandale dit Facebook-Cambridge Analytica ou la fuite de données Facebook-Cambridge Analytica renvoie aux données personnelles de 87 millions d'utilisateurs Facebook que la société Cambridge Analytica a commencé à recueillir dès 2014.
Source : facebook
Et vous ?
Qu’en pensez-vous ?
Votre compte Facebook a-t-il été affecté par cette faille ?
Voir aussi
Près de 50 millions de comptes Facebook affectés par une faille de sécurité considérée comme étant la plus importante de l'histoire du réseau social
Facebook surpris en train de bloquer les histoires d’AP et de Guardian sur sa violation massive de données touchant 50 millions d’utilisateurs
Un hacker dit qu'il va supprimer en direct la page Facebook de Zuckerberg, dans une attaque prévue pour ce dimanche
Facebook : la faille de sécurité aurait possiblement affecté 90 millions de comptes
Et exposé les données des utilisateurs pendant au moins 14 mois
Facebook : la faille de sécurité aurait possiblement affecté 90 millions de comptes
Et exposé les données des utilisateurs pendant au moins 14 mois
Le , par Coriolan
Une erreur dans cette actualité ? Signalez-nous-la !