La faille de sécurité dévoilée le 28 septembre par Facebook, qui lui vaut l’ouverture d’une enquête par le régulateur irlandais, concerne des dizaines de millions d’usagers.
– Que s’est-il passé ? Selon Facebook, des pirates ont profité de la conjonction de plusieurs bugs datant de juillet 2017 et nichés dans la fonctionnalité «Voir en tant que», qui permet de visualiser ce à quoi ressemble son propre profil quand il est vu par un autre utilisateur. Dans certains cas, l’utilisation de cette fonction générait «par erreur» des clés numériques de connexion, appelées en anglais «accesstokens», qui permettent de rester connecté sans avoir à rentrer son mot de passe à chaque fois. Les pirates sont arrivés à s’emparer de ces clés, qui donnent accès aux comptes comme si on en était le titulaire. Le 16 septembre, Facebook a observé une hausse inhabituelle du nombre de connexions et décidé d’enquêter. Le 25 septembre, Facebook découvre l’attaque et la faille.
– Quoi et pour quoi faire ? Parce qu’ils pouvaient accéder aux comptes comme s’ils en étaient les propriétaires, les pirates pouvaient potentiellement en voir toutes les informations avec donc la possibilité de les modifier, de publier, de commenter… Facebook dit ne pas savoir précisément ce à quoi ont accédé les pirates ni s’ils ont fait quelque chose de ces informations. Selon les 1ères constatations, les pirates n’ont en tout cas pas semblé accéder aux messages privés ni poster des publications tandis que les mots de passe n’ont pas été compromis, pas plus que des informations bancaires. Il arrive souvent que des pirates revendent des infos sur le «dark web», partie cachée d’internet dont le contenu n’est pas indexé par les moteurs de recherche.
– Qui est concerné ? «Jusqu’à 50 millions de comptes» ont été directement touchés, c’est-à-dire que les pirates ont récupéré leurs clés d’accès. Selon la Commission européenne, il y a parmi eux environ 5 millions d’usagers européens. Une incertitude demeure sur 40 autres millions de comptes, pour lesquels la fonctionnalité «Voir en tant que» a été utilisée au cours de l’année écoulée.Les pirates ont aussi pu user du même subterfuge pour accéder aux comptes Messenger (messagerie détenue par Facebook) et Instagram (également possédé par le groupe) qui étaient reliés aux comptes Facebook touchés. En revanche, la 3ème plateforme du groupe, la messagerie WhatsApp, n’a pas été affectée. En théorie, les pirates ont aussi pu utiliser ces clés pour se connecter aux sites et applications extérieurs auxquels on peut se connecter via ses identifiants Facebook (fonction «Connectez-vous via Facebook»), ouvrant alors un accès potentiel à un nombre d’informations difficilement quantifiable.
– Les mesures prises ? Le groupe dit avoir réparé la faille le 27 septembre au soir et prévenu le FBI, ainsi que le régulateur du secteur en Irlande, pays où se trouve son siège européen. A partir du 27 au soir, le groupe a réinitialisé par précaution les «accesstokens» des 90 millions de comptes touchés de façon certaine ou probable, ce qui a abouti à les déconnecter, obligeant les utilisateurs à se reconnecter manuellement. Ils ont aussi reçu un message sur leur fil d’actualités. Facebook a suspendu «Voir en tant que».
– Que risque Facebook ? Aux Etats-Unis, au niveau fédéral, c’est la Federal Trade Commission (FTC) qui est chargée de vérifier si les entreprises ont mal protégé les informations personnelles de leurs clients contre un piratage. Elle peut imposer des amendes. Les données personnelles peuvent aussi être protégées par des lois au niveau des Etats, plus ou moins contraignantes. Tous les Etats obligent désormais à révéler les fuites de données. Les autorités des Etats ou des particuliers peuvent intenter des actions en justice pour réclamer des dommages.
