Faille de sécurité chez Facebook: quoi? combien? comment?

Selon Facebook, des pirates ont profité de la conjonction de plusieurs bugs datant de juillet 2017 et nichés dans la fonctionnalité "Voir en tant que". Dans certains cas, l'utilisation de cette fonction générait "par erreur" des clés numériques de connexion, appelées en anglais "access tokens", qui permettent de rester connecté sans avoir à rentrer son mot de passe à chaque fois.

Les pirates sont arrivés à s'emparer de ces clés, qui donnent accès aux comptes comme si on en était le titulaire.

Le 16 septembre, Facebook a observé une hausse inhabituelle du nombre de connexions et décidé d'enquêter. Le 25 septembre, il découvre l'attaque et la faille.

Le groupe refuse de dire combien de temps a-t-elle duré.

Quoi et pour quoi faire?

Parce qu'ils pouvaient accéder aux comptes comme s'ils en étaient les propriétaires, les pirates pouvaient potentiellement en voir toutes les informations avec la possibilité de les modifier, de publier, de commenter...

Facebook dit ne pas savoir précisément ce à quoi ont accédé les pirates ni s'ils ont fait quelque chose de ces informations.

Selon les premières constatations, les pirates n'ont en tout cas pas semblé accéder aux messages privés ni poster des publications tandis que les mots de passe n'ont pas été compromis, pas plus que des informations bancaires.

Il arrive souvent que des pirates revendent des infos sur le "dark web", partie cachée d'internet dont le contenu n'est pas indexé par les moteurs de recherche.

Qui est concerné?

"Jusqu'à 50 millions de comptes" ont été directement touchés, c'est-à-dire que les pirates ont récupéré leurs clés d'accès. Selon la Commission européenne, il y a parmi eux environ 5 millions d'usagers européens.

Une incertitude demeure sur 40 autres millions de comptes, pour lesquels la fonctionnalité "Voir en tant que" a été utilisée au cours de l'année écoulée.

Les pirates ont aussi pu user du même subterfuge pour accéder aux comptes Messenger et Instagram qui étaient reliés aux comptes Facebook touchés. En revanche, la troisième plateforme du groupe, la messagerie WhatsApp, n'a pas été affectée.

En théorie, les pirates ont aussi pu utiliser ces clés pour se connecter aux sites et applications extérieurs auxquels on peut se connecter via ses identifiants Facebook (fonction "Connectez-vous via Facebook"), ouvrant alors un accès potentiel à un nombre d'informations difficilement quantifiable. Toutefois, Facebook a assuré mardi qu'aucune indication ne montrait qu'ils avaient effectivement accédé à ces profils extérieurs.

Les mesures prises?

Le groupe dit avoir réparé la faille le 27 septembre au soir et prévenu le FBI, ainsi que le régulateur du secteur en Irlande, pays où se trouve son siège européen.

A partir du 27 au soir, le groupe a réinitialisé par précaution les "access tokens" des 90 millions de comptes touchés de façon certaine ou probable, ce qui a abouti à les déconnecter, obligeant les utilisateurs à se reconnecter manuellement. Ils ont aussi reçu un message sur leur fil d'actualités.

Facebook a suspendu "Voir en tant que".

Que risque Facebook?

Difficile de répondre à cette question, qui tourne autour de deux points et dépend d'une multitude de lois et de règlements: Facebook a-t-il mal protégé les données de ses clients? A-t-il trop tardé à les en informer?

Aux Etats-Unis, au niveau fédéral, c'est la Federal Trade Commission (FTC) qui est chargée de vérifier si les entreprises ont mal protégé les informations personnelles de leurs clients contre un piratage. Elle peut imposer des amendes.

Les données personnelles peuvent aussi être protégées par des lois au niveau des Etats, plus ou moins contraignantes. Tous les Etats obligent désormais à révéler les fuites de données.

Les autorités des Etats ou des particuliers peuvent intenter des actions en justice pour réclamer des dommages.

(Avec AFP)