Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Facebook aurait été averti à plusieurs reprises sur la faille de sécurité qui a conduit à la plus grande violation de données de son histoire
Des employés ont des remords et se sentent coupables

Le , par Olivier Famien

436PARTAGES

10  0 
En 2018, Facebook a enregistré la plus grosse fuite de données de son histoire. Environ 90 millions de comptes ont été piratés en exploitant trois bogues liés à la fonctionnalité « ;Aperçu en tant que ;».

Premièrement : la fonctionnalité « ;Aperçu du profil en tant que ;» est censée permettre aux utilisateurs de visualiser leur profil en tant que quelqu’un d’autre. Cependant, pour un type de compositeur (la zone qui permet de poster du contenu sur Facebook), plus spécifiquement la version qui permet aux gens de souhaiter un bon anniversaire à leurs amis, cette fonctionnalité a incorrectement permis de poster une vidéo.

Deuxièmement : une nouvelle version de l’uploader de vidéo (l’interface présentée en raison du premier bogue), introduite en juillet 2017, a généré de manière erronée un jeton d’accès qui a les permissions de l’application mobile de Facebook.

Troisièmement : quand l’uploader vidéo apparaît à partir de « ;Aperçu du profil en tant que ;», il a généré un jeton d’accès non pas pour vous, mais pour l’utilisateur que vous avez cherché.

Après que l’incident soit parvenu au grand public, cela a déclenché une vague de réactions dans le monde comme des poursuites judiciaires, une enquête du FBI et une conférence de presse donnée par directeur général de Facebook, Mark Zuckerberg, qui a déclaré : « ;C’est un problème de sécurité très grave, et nous le prenons très au sérieux ;». Un groupe d’utilisateurs américains a par ailleurs formé un recours collectif contre Facebook et l’a accusé de négligence et de rupture de contrat en ne protégeant pas les informations privées qu’il a incité ses utilisateurs à lui fournir au cours de la dernière décennie. Les plaignants ont soutenu que Facebook n’avait rien fait pour empêcher la vulnérabilité, car il craignait que cela crée des problèmes techniques et nuise aux revenus. « ;Facebook a préféré l’argent à la sécurité ;», ont-ils allégué.


Les avocats de Facebook ont réfuté ces accusations en avançant que le piratage résultait d’une combinaison « ;imprévue ;» et « ;très obscure ;» de trois problèmes distincts qui étaient « ;complètement inconnus ;» du réseau social et ont décrit toute suggestion selon laquelle Facebook avait ignoré les causes de l’attaque comme étant « ;sans fondement ;».

Toutefois, les documents juridiques fournis lors du procès montrent que l’entreprise avait été avertie à maintes reprises par ses propres employés ainsi que par des personnes extérieures d’une faille qui pouvait être massivement exploitée par des pirates. Neuf mois avant la survenue du piratage en septembre 2018, des employés de Facebook ont interpellé leurs responsables, mais leurs alertes sont restées lettre morte. Facebook avait à plusieurs reprises omis de répondre de manière adéquate aux préoccupations soulevées dès décembre 2017 par ses propres ingénieurs qui craignaient que les jetons d’accès soient « ;faciles ;» à exploiter par les criminels. C’est pourquoi lorsque l’incident est survenu, certains employés ont commencé à parler de leur sentiment de « ;culpabilité ;» et de leur « ;souffrance ;», car ils savaient que l’attaque « ;aurait pu être évitée ;».

Selon les documents publiés lors du procès, des employés ont déploré que les modifications techniques qui auraient pu empêcher le piratage de se produire n’aient jamais été achevées. Un autre employé aurait déclaré que les avertissements étaient « ;presque tous ignorés ;». Dans les messages internes entre employés, l’on peut également lire une personne qui écrit : « ;Ça fait mal de savoir que si nos trucs avaient été faits plus rapidement [ou] dans un meilleur état, cela aurait pu être évité... c’est quelque chose sur quoi j’ai travaillé, mais je n’ai pas fini. La culpabilité a vraiment décidé de me ronger sur ce coup ;». Son collègue a répondu avec une émoticône au visage triste.

Bien que ces éléments viennent montrer avec plus d’évidence la part de responsabilité de Facebook dans l’occurrence de l’attaque qui a exposé environ 90 millions de comptes d’utilisateurs, le réseau social a discrètement accepté le mois dernier, et plus précisément le 17 janvier, de régler l’affaire sans admettre aucune responsabilité ni de payer de dommages et intérêts, bien qu’il consente à payer les frais juridiques des plaignants, tels que déterminés par le tribunal. Selon les termes du règlement, Facebook est tenu de certifier que les failles qui ont conduit à l’attaque ont été corrigées et de présenter un plan de sécurité destiné à prévenir de futures attaques. Ce plan sera vérifié par un évaluateur indépendant chaque année pendant cinq ans. Le règlement de Facebook doit encore être approuvé par le juge américain William Alsup. Cependant, d’autres plaignants peuvent toujours s’opposer à ce règlement. En attendant, le réseau social continue de contester « ;vigoureusement ;» d’autres poursuites en dehors des États-Unis, qu’il décrit comme « ;sans fondement ;».

Source : USA Today, The Telegraph

Et vous ?

Selon vous Facebook était-il informé de la faille avant qu’elle ne soit exploitée par les pirates ;?

Pensez-vous que le réseau social ait fait preuve de mauvaise foi en déclarant qu’il n’était pas informé de la faille avant son exploitation ;?

Quelles solutions préconisez-vous pour éviter de telles violations de données sur cette plateforme ;?

Voir aussi

Facebook surpris en train de bloquer les histoires d’AP et de Guardian sur sa violation massive de données, touchant 50 millions d’utilisateurs
L’UE ouvre une enquête après la faille de sécurité révélée par Facebook qui a compromis près de 50 millions de comptes Facebook
Plus de 267 millions de noms et de numéros de téléphone provenant de Facebook ont été divulgués en ligne, selon des chercheurs en sécurité
Facebook pourrait écoper d’une amende de 1,63 Md $ US pour le piratage des 50 millions de comptes utilisateurs dont il a été récemment victime
Facebook utiliserait les données personnelles des utilisateurs comme monnaie d’échange pour accorder des privilèges spéciaux à certaines entreprises

Une erreur dans cette actualité ? Signalez-le nous !