Hack Facebook : tous les conseils de sécurité ne se valent pas

 

Si quelqu’un vous dit que vous devriez changer vos mots de passe après la violation de Facebook, vous feriez aussi bien de ne pas y prêter l’oreille.

Ce conseil est en effet totalement inutile pour les 50 millions de personnes potentiellement affectées par une faille de sécurité, annoncée le 28 septembre dans la fonction « View As » de Facebook. Et pourtant, des organisations comme la Federal Trade Commission du gouvernement américain continuent de le suggérer.

Changer de mot de passe ? Inutile

Pourtant, le piratage de millions de comptes Facebook n’a pas eu pour conséquence le vol des mots de passe des utilisateurs concernés. Ce sont les tokens de session qui ont été pris pour cible par les attaquants, c’est-à-dire des clés numériques attribuées aux utilisateurs après la première connexion.

Les pirates peuvent ainsi accéder aux comptes sans détenir les mots de passe et ne sont à même de les extraire grâce aux tokens de session des utilisateurs de Facebook. D’ailleurs, le réseau social n’a pas contraint les utilisateurs à réinitialiser leurs mots de passe.

Après la découverte de l’attaque, Facebook a ainsi annoncé qu’il réinitialiserait automatiquement les jetons d’accès pour les personnes touchées, ainsi que pour 40 millions de comptes supplémentaires, ajoutant que, pour cette raison, il n’était pas nécessaire de modifier les mots de passe.

La FTC a pris note de cette explication, tout en préconisant, « Par sécurité », de se connecter à son compte Facebook et d’en modifier néanmoins le mot de passe. Cette recommandation répond au désir naturel des internautes de faire quelque chose après un tel incident de sécurité.

Le nombre croissant des intrusions, de Yahoo à Equifax, attise l’inquiétude des utilisateurs à l’égard de la confidentialité de leurs données personnelles. Toutefois, il arrive parfois que les conseils fournis après ce genre d’incident ne contribuent en rien à sa résolution.

Les internautes seraient sans doute plus avisés de prendre des mesures plus proactives et d’agir donc en prévention d’une attaque. « Habituellement, il y a peu d’actions qu’un consommateur peut entreprendre après une faille » souligne Dave Kennedy, directeur général de la société de sécurité TrustedSec.

De bonnes pratiques à suivre avant les attaques

L’autre conseil de la FTC n’est guère plus utile. L’agence américaine recommande de faire preuve de vigilance pour éviter d’être victimes d’escroqueries menées grâce aux informations volées sur les comptes Facebook. Les internautes devraient assurément faire preuve de vigilance à l’égard des escroqueries, toutefois les conseils de la FTC ne concernent pas exactement Facebook, selon Kennedy.

« C’est tellement générique que ce n’est même pas spécifique à la faille Facebook et que cela ne s’applique pas à ce qui se passe avec Facebook » déclare-t-il. « Je ne pense pas que le conseil ait été de la moindre utilité pour cette violation spécifique. »

Le conseil post-violation est souvent ce qu’une personne aurait dû faire avant même qu’elle se produire. Utiliser un gestionnaire de mot de passe; ne pas passer par Facebook pour se connecter à des applications tierces telles qu’Instagram, Spotify et Tinder; recourir à l’authentification à deux facteurs.

Toutes ces solutions figurent parmi la liste des bonnes pratiques de sécurité susceptibles de protéger les internautes contre de futures attaques. Elles arrivent en revanche trop tard, comme les conseils, lorsque l’intrusion s’est déjà déroulée – un peu comme de recommander le port de la ceinture de sécurité à une personne qui se remet d’un accident de voiture.

« La capacité du consommateur à faire tout ce qui est en son pouvoir pour éviter des dommages à long terme est limitée » juge Emily Wilson, responsable fraude pour Terbium Labs.

Souvent, nettoyer les dégâts n’est pas à la portée des personnes touchées. Ils doivent se reposer sur les entreprises attaquées pour protéger leurs données perdues et prévenir de nouvelles intrusions.

Illustration du manque de contrôle des internautes sur leurs données

« Les consommateurs, dans bien des cas, ont moins de contrôle sur leurs données » souligne Emily Wilson.

Le réseau social Facebook a ainsi déjà exécuté les principales actions requises après l’attaque, en déconnectant 90 millions de personnes de leurs comptes pour réinitialiser les jetons d’accès. Quand Equifax a annoncé une violation touchant environ 147 millions d’Américains, la société de surveillance de crédit a proposé gratuitement son propre outil de protection de l’identité.

Pour Dave Kennedy de TrustedSec, le conseil le plus utile à suivre à la suite de la brèche massive de Facebook est de se protéger contre de nouveaux piratages, et non contre ceux qui se sont déjà produits.

Mais ce n’est pas parce que vous ne pouvez rien concernant les violations passées que vous êtes impuissant.

« Il y a des leçons à tirer » insiste Kennedy. « Ce n’est pas l’impuissance. Vous pouvez prendre des mesures proactives. »

Article « After Facebook’s hack, there’s a lot of useless post-breach advice » traduit et adapté par Christophe Auffray, ZDNet.fr

Go to Source


bouton-devis