Piratage de Facebook : 50 millions de personne touchées, la France pas épargnée, ce qu’il s’est passé

Piratage de Facebook : 50 millions de personne touchées, la France pas épargnée, ce qu'il s'est passé

Facebook a révélé vendredi dernier qu’un piratage affectant 50 millions de personnes avait eu lieu. Une faille située dans la fonction « Voir en tant que » grâce à laquelle les membres peuvent consulter leur profil tel que le voient leurs amis, a été exploitée par des pirates qui ont pu se procurer des jetons d’identification (access token en anglais) et ainsi gagner un accès complet aux comptes utilisateurs. Facebook a également indiqué que la faille concernait des applications tierces liées à un compte Facebook, dont Instagram. Par précaution, le réseau social a déconnecté 90 millions de comptes.

Bien qu’aucun chiffre n’ait été communiqué par pays, la France n’a pas été épargnée. Mounir Mahjoubi, le secrétaire d’État chargé du numérique, a indiqué avoir lui-même été déconnecté de Facebook. Le membre du gouvernement dit avoir contacté le réseau social afin d’obtenir plus de précisions sur l’ampleur du piratage dans l’Hexagone. « Cette faille apporte la démonstration que ces plateformes ne sont pas des coffres-forts », a-t-il estimé au micro de France Info.

Aucune piste pour le moment

L’attaque a été découverte la semaine dernière, suite à quoi Facebook a contacté le FBI ainsi que la Commission irlandaise en charge de la protection des données. L’enquête ne fait que commencer et aucune piste n’a été évoquée concernant l’identité des pirates.

 « C’est un problème de sécurité très sérieux », a reconnu Mark Zuckerberg devant les journalistes. « Cela illustre le fait qu’il y a des attaques permanentes de la part de gens qui tentent de s’emparer des comptes et de voler des informations de notre communauté. C’est un effort constant. »

L’entreprise enquête toujours sur l’attaque et ne sait pas combien d’informations ont été volées ni qui est derrière le piratage. Comme il s’agissait de jetons d’accès volés et non de mots de passe, Facebook assure que les utilisateurs concernés n’ont pas besoin de modifier leurs paramètres de sécurité, y compris leurs mots de passe.

Les jetons d’identification sont des codes qui sont attribués à un utilisateur lors de sa première connexion. Ils sont employés sur les sites web afin de ne pas avoir à se reconnecter à chaque fois que l’on consulte une page.

L’attaque a été menée en plusieurs étapes. Les assaillants ont commencé par consulter un profil Facebook auquel ils avaient accès en tant qu’utilisateur supplémentaire. La fonction « Voir en tant que » est destinée à permettre aux utilisateurs de voir comment leur profil est perçu par le public ou par des amis spécifiques en fonction de leurs paramètres de confidentialité. Dans cette configuration, il est arrivé qu’en raison d’un bug, les pirates aient accès à l’outil permettant de poster une vidéo d’anniversaire (outil introduit en juillet 2017). Un autre bug présent dans l’outil vidéo a permis de générer des access token pour pouvoir accéder au compte et en prendre le contrôle. Les pirates ont été en mesure d’intensifier considérablement cette attaque en plusieurs étapes, à tel point que Facebook a remarqué un pic inhabituel dans l’activité des utilisateurs et a commencé à enquêter.

L’effet positif du RGPD

Fatemeh Khatibloo, analyste chez Forrester et spécialiste de la protection de la vie privée, a estimé dans un courriel qu’il semblait que Facebook avait contenu les dommages causés par cette attaque à un stade précoce. Selon elle, c’est grâce à l’entrée en vigueur du RGPD que les utilisateurs ont pu être informés bien plus rapidement. En effet, le texte exige que les entreprises informent les utilisateurs d’une violation de données au plus tard 72 heures après en avoir pris connaissance elles-mêmes.

Alors que la nouvelle de l’attaque commençait à se diffuser vendredi, Facebook a bloqué la publication de deux articles de presse évoquant le sujet, l’un du Guardian, l’autre d’Associated Press. Facebook a confirmé ce blocage en expliquant qu’il s’agissait d’une erreur. « Nous avons réglé le problème dès que nous en avons eu connaissance et les gens devraient pouvoir partager les deux articles », a déclaré la société dans un communiqué. « Nous nous excusons pour la gêne occasionnée. »

En août, Alex Stamos, le responsable de la sécurité de Facebook a quitté l’entreprise pour aller enseigner à Stanford. Son départ a eu lieu dans le cadre d’une réorganisation plus vaste de l’équipe de sécurité de l’entreprise qui était en cours au moment où l’attaque de cybersécurité a commencé. Mais selon Guy Rosen, responsable produit, ce départ a permis de renforcer l’équipe de cybersécurité et contribué à une détection plus rapide de l’attaque.

à lire aussi