Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Facebook : la faille de sécurité aurait possiblement affecté 90 millions de comptes
Et exposé les données des utilisateurs pendant au moins 14 mois

Le , par Coriolan

121PARTAGES

16  0 
C’est une autre déroute de Facebook qui pourrait avoir des conséquences énormes. Après avoir informé qu’une faille a permis une fuite de données de 50 millions de comptes, le réseau social est revenu avec plus de détails techniques sur ce problème de sécurité.

Tout d’abord, Facebook a admis que le bogue aurait potentiellement exposé les données des utilisateurs pendant au moins 14 mois. Quant au nombre des utilisateurs affectés, il pourrait atteindre jusqu’à 90 millions de comptes au lieu des 50 millions annoncés auparavant.


Mais comment en est-on arrivé là ? Facebook a révélé que les hackers ont exploité une combinaison de trois bogues qui a permis aux hackers de s’emparer de jetons d’accès attribués à des dizaines de millions de comptes d’utilisateurs. Grâce à ces jetons, les attaquants ont été en mesure de se connecter aux comptes Facebook sans avoir besoin de connaître leurs mots de passe, permettant au passage aux hackers de mettre la main sur les informations privées, photos et vidéos des utilisateurs.

Pire encore, cette fuite affecte aussi les sites et applications tiers connectés à chaque compte Facebook.

Cette attaque aurait eu aussi un impact sur les sites et applications tierces connectés à chaque compte Facebook piraté. En vraisemblance, une fois les hackers ont accès aux comptes d’utilisateurs, ils peuvent se connecter dans les sites et applications liés à chaque compte.

Dans une première note de sécurité, Facebook a expliqué que les attaquants ont abusé la fonctionnalité « Aperçu du profil en tant que » proposée par Facebook en juillet 2017. Cette fonctionnalité censée améliorer la confidentialité des utilisateurs a permis aux hackers de s'emparer des jetons d’accès.

Cette vulnérabilité a été le résultat de trois différents bogues :

Premièrement : la fonctionnalité “Aperçu du profil en tant que” est censée permettre aux utilisateurs de visualiser leur profil en tant que quelqu’un d’autre. Cependant, pour un type de compositeur (la zone qui permet de poster du contenu sur Facebook), plus spécifiquement la version qui permet aux gens de souhaiter un bon anniversaire à leurs amis, cette fonctionnalité a incorrectement permis de poster une vidéo.

Deuxièmement :
une nouvelle version de l’uploader de vidéo (l’interface présentée en raison du premier bogue), introduite en juillet 2017, a généré de manière erronée un jeton d’accès qui a les permissions de l’application mobile de Facebook.

Troisièmement : quand l'uploader vidéo apparaît à partir de “Aperçu du profil en tant que”, il a généré un jeton d’accès non pas pour vous, mais pour l’utilisateur que vous avez cherché.

« C’est cette combinaison de ces trois bogues qui est devenue une vulnérabilité : en utilisant la fonctionnalité ‘Aperçu du profil’, le code n’a pas supprimé le compositeur qui laisse les gens vous souhaiter un bon anniversaire ; l’uploader de vidéo générait un jeton d’accès alors que cela ne devait pضs avoir lieu ; et quand le jeton d’accès était généré, il n’était pas pour vous, mais la personne cherchée. Il [jeton] était alors disponible dans une page HTML, où il pouvait être extrait par les attaquants et exploité pour se connecter en tant qu’un autre utilisateur, » a écrit Pedro Canahuati, Vice-président de l’Ingénierie, Sécurité et Confidentialité chez Facebook.

En lisant cette description de la vulnérabilité, on se rend compte que chaque compte de Facebook a été menacé d’être piraté. Néanmoins Facebook estime que seulement 50 millions de comptes ont été réellement « directement affectés ». Une autre 40 millions de comptes ont été soumis à une réinitialisation des jetons d’accès en tant que mesure de précaution. Facebook a informé avoir comblé la faille et avoir déconnecté la totalité des 90 millions d’utilisateurs pour invalider leurs jetons d’accès. Si votre compte a été déconnecté seul récemment, vous savez maintenant que ça fait partie des mesures prises par Facebook.

Lors d’une conférence de presse tenue vendredi, Facebook a noté avoir identifié la vulnérabilité après avoir remarqué mardi un pic suspect de l’activité des utilisateurs. L’attaque a été d’une grande échelle a informé l’entreprise. Après des investigations, le réseau social s’est rendu compte que des hackers ont exploité l’API du site pour automatiser le processus de collecte des données d’utilisateurs à partir de leurs profils.

Même les comptes de Zuckerberg et Sheryl Sandberg (COO de Facebook) ont été affectés. Facebook a informé avoir contacté les autorités et corrigé la faille.

Il n’est pas clair qui est à l’origine de cette attaque ; lors de la même semaine, un hacker a dit qu’il va supprimer en direct la page Facebook de Zuckerberg. Une chose qui a poussé certains à lier les deux faits. Néanmoins, Facebook assure qu’il n’existe aucune relation entre la fuite et ce hacker présumé.

Cette attaque est la dernière d’une série d'événements qui ont terni l’image du réseau social auprès du grand public. En mars, le quotidien américain New York Times et britannique The Guardian ont publié des informations relatives à une campagne de manipulation orchestrée par l’entreprise Cambridge Analytica, une société spécialisée dans l’analyse de données (data mining), ِce scandale dit Facebook-Cambridge Analytica ou la fuite de données Facebook-Cambridge Analytica renvoie aux données personnelles de 87 millions d'utilisateurs Facebook que la société Cambridge Analytica a commencé à recueillir dès 2014.

Source : facebook

Et vous ?

Qu’en pensez-vous ?
Votre compte Facebook a-t-il été affecté par cette faille ?

Voir aussi

Près de 50 millions de comptes Facebook affectés par une faille de sécurité considérée comme étant la plus importante de l'histoire du réseau social
Facebook surpris en train de bloquer les histoires d’AP et de Guardian sur sa violation massive de données touchant 50 millions d’utilisateurs
Un hacker dit qu'il va supprimer en direct la page Facebook de Zuckerberg, dans une attaque prévue pour ce dimanche

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Sodium
Membre extrêmement actif https://www.developpez.com
Le 02/10/2018 à 13:05
Tu te fais pirater, tu payes une amende! Je comprends pas trop le principe....
Je n'ai pas suivi l'affaire, mais si le piratage est dû à un manque de rigueur dans sécurité du système, il est logique de faire payer une amende si la faille a donné accès à des données personnelles.
6  0 
Avatar de GordonFreeman
Membre confirmé https://www.developpez.com
Le 02/10/2018 à 17:31
Simple remarque mais je pense que ce serait plutôt pas mal dans ce genre de cas que ce soit les personnes lésées qui profitent de cette amende.

Au final, les personnes affectées par ce problème voient leurs données dans la nature et n'ont aucune forme de compensation.

Raisonnement utopique je sais bien, mais il fait bon rêver des fois....
6  0 
Avatar de Marco46
Modérateur https://www.developpez.com
Le 01/10/2018 à 22:35
En résumé : Explosion combinatoire des cas de tests -> catastrophe.

Quand c'est trop gros, c'est trop gros !
2  0 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 15/10/2018 à 18:32
Citation Envoyé par Elros Voir le message
Incomparable, Elon Musk s'est fait épingler par le gendarme de la bourse pour une fausse annonce qui a fait baisser l'action Tesla. Ce n'est pas la première qu'il a des problèmes avec la SEC.
Je sais bien que l'organisme de contrôle n'est pas le même, et que la faute n'est pas la même. Je met les deux cas côté à côte car cela montre la différence de protection entre des actionnaires et des utilisateurs.
2  0 
Avatar de Matthieu76
Membre éclairé https://www.developpez.com
Le 02/10/2018 à 10:52
Tu te fais pirater, tu payes une amende! Je comprends pas trop le principe....
1  0 
Avatar de BabarG
Futur Membre du Club https://www.developpez.com
Le 02/10/2018 à 17:01
Votre article est fort intéressant et apporte des éléments pertinents sur la faille et ses conséquences.

Toutefois, je trouve dommage que vous gachiez votre message avec une formulation inadaptée et fausse:

C’est la substance des avis des internautes sur le sujet.
Votre argument est un appel à la popularité pour jusitifier un point de vu. Le point de vu "les amendes liées à la RGPD sont trop importantes" peut être défendu ou contredit. Toutefois l'appel à la popularité pour justifier l'argumentaire est fallacieux.
En plus d'être fallacieux cet argument vous fait passez à côté de toutes justifications et vous ne donnez aucun fait pour étailler cette théorie "amendes trop importantes".

J'espère qu'on aura l'occasion de lire vos prochains articles sans un argumentaire fallacieux en conclusion.
1  0 
Avatar de Elros
Membre éprouvé https://www.developpez.com
Le 15/10/2018 à 9:34
Citation Envoyé par benjani13 Voir le message
Quelques actionnaires spéculateurs se prennent les pieds dans le tapis à cause d'un tweet d'Elon Musk, et Musk est mis à la porte (de façon justifié ou non). Au minimum 14millions de personnes flouées de leur données personnelles, et pas de soucis Zuckerberg reste en place...
Incomparable, Elon Musk s'est fait épingler par le gendarme de la bourse pour une fausse annonce qui a fait baisser l'action Tesla. Ce n'est pas la première qu'il a des problèmes avec la SEC.

Elros
1  0 
Avatar de captaindidou
Inactif https://www.developpez.com
Le 15/10/2018 à 10:36
mais putain,quand est-ce que vous allez arrêter d'appeler ces gens-là, des hackers ?

Ce sont des crackeurs, des blackhats ou tout simplement des cybervoleurs.
1  0 
Avatar de Marco46
Modérateur https://www.developpez.com
Le 04/10/2018 à 15:16
Citation Envoyé par Bill Fassinou Voir le message
Pour tirer l'affaire au clair et situer les responsabilités, la Commission a ouvert mercredi dernier une enquête sur la faille de sécurité révélée par Facebook.
Aie aie aie, ils sont déjà pas capables de faire respecter des normes environnementales et ils veulent faire de la sécurité informatique maintenant.

Je vois vraiment pas comment une telle chose pourrait se dérouler (ils vont imposer un audit indépendant dans les process et le source de FB qui doit faire des dizaines de millions de lignes ?!?). De 2 choses l'une, soit Facebook connaissait l'existence de la faille depuis longtemps et ils ne l'ont pas corrigée (Dans quel but ? Ici ils n'ont rien à gagner et tout à y perdre) soit ils disent la vérité (pour une fois) et ils ont corrigé dès qu'ils ont su et dans ce cas je vois pas bien ce qu'on pourrait leur reprocher.

Le problème de Facebook c'est qu'ils ont 30 000 composants React dans leur code base. Pour les béotiens on parle seulement du frontend là. Je vous laisse imaginer la complexité pour réaliser des tests de nature à révéler ce type de faille (3 bugs qui ensembles ouvrent une faille) sur un tel mastodonte, en particulier en prenant en compte des services externes comme l'authentification. A l'exécution ça coûte très très cher et c'est juste impossible de couvrir tous les cas.

Quand c'est trop gros, c'est trop gros.
1  1 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 13/10/2018 à 11:48
Quelques actionnaires spéculateurs se prennent les pieds dans le tapis à cause d'un tweet d'Elon Musk, et Musk est mis à la porte (de façon justifié ou non). Au minimum 14millions de personnes flouées de leur données personnelles, et pas de soucis Zuckerberg reste en place...
0  0