Faille de sécurité chez Facebook : quoi ? combien ? comment ?

La faille de sécurité dévoilée vendredi 28 septembre par Facebook concerne des dizaines de millions d'usagers dans le monde (AFP/Archives/JOEL SAGET)

La faille de sécurité dévoilée vendredi 28 septembre par Facebook, qui lui vaut l'ouverture d'une enquête par le régulateur irlandais, concerne des dizaines de millions d'usagers dans le monde.

- Que s'est-il passé ?

Selon Facebook, des pirates ont profité de la conjonction de plusieurs bugs datant de juillet 2017 et nichés dans la fonctionnalité "Voir en tant que", qui permet de visualiser ce à quoi ressemble son propre profil quand il est vu par un autre utilisateur.

Dans certains cas, l'utilisation de cette fonction générait "par erreur" des clés numériques de connexion, appelées en anglais "access tokens", qui permettent de rester connecté sans avoir à rentrer son mot de passe à chaque fois.

Les pirates sont arrivés à s'emparer de ces clés, qui donnent accès aux comptes comme si on en était le titulaire.

Le 16 septembre, Facebook a observé une hausse inhabituelle du nombre de connexions et décidé d'enquêter. Le 25 septembre, Facebook découvre l'attaque et la faille.

Le groupe refuse de dire combien de temps a duré l'attaque.

- Quoi et pour quoi faire ?

Parce qu'ils pouvaient accéder aux comptes comme s'ils en étaient les propriétaires, les pirates pouvaient potentiellement en voir toutes les informations avec donc la possibilité de les modifier, de publier, de commenter...

Facebook dit ne pas savoir précisément ce à quoi ont accédé les pirates ni s'ils ont fait quelque chose de ces informations.

Selon les premières constatations, les pirates n'ont en tout cas pas semblé accéder aux messages privés ni poster des publications tandis que les mots de passe n'ont pas été compromis, pas plus que des informations bancaires.

Il arrive souvent que des pirates revendent des infos sur le "dark web", partie cachée d'internet dont le contenu n'est pas indexé par les moteurs de recherche.

- Qui est concerné ?

"Jusqu'à 50 millions de comptes" ont été directement touchés, c'est-à-dire que les pirates ont récupéré leurs clés d'accès. Selon la Commission européenne, il y a parmi eux environ 5 millions d'usagers européens.

Une incertitude demeure sur 40 autres millions de comptes, pour lesquels la fonctionnalité "Voir en tant que" a été utilisée au cours de l'année écoulée.

Les pirates ont aussi pu user du même subterfuge pour accéder aux comptes Messenger (messagerie détenue par Facebook) et Instagram (également possédé par le groupe) qui étaient reliés aux comptes Facebook touchés. En revanche, la troisième plateforme du groupe, la messagerie WhatsApp, n'a pas été affectée.

En théorie, les pirates ont aussi pu utiliser ces clés pour se connecter aux sites et applications extérieurs auxquels on peut se connecter via ses identifiants Facebook (fonction "Connectez-vous via Facebook"), ouvrant alors un accès potentiel à un nombre d'informations difficilement quantifiable. Toutefois, Facebook a assuré mardi qu'aucune indication ne montrait qu'ils avaient effectivement accédé à ces profils extérieurs.

- Les mesures prises ?

Le groupe dit avoir réparé la faille le 27 septembre au soir et prévenu le FBI, ainsi que le régulateur du secteur en Irlande, pays où se trouve son siège européen.

A partir du 27 au soir, le groupe a réinitialisé par précaution les "access tokens" des 90 millions de comptes touchés de façon certaine ou probable, ce qui a abouti à les déconnecter, obligeant les utilisateurs à se reconnecter manuellement. Ils ont aussi reçu un message sur leur fil d'actualités.

Facebook a suspendu "Voir en tant que".

- Que risque Facebook ?

Difficile de répondre à cette question, qui tourne autour de deux points et dépend d'une multitude de lois et de règlements: Facebook a-t-il mal protégé les données de ses clients ? A-t-il trop tardé à les en informer ?

Aux Etats-Unis, au niveau fédéral, c'est la Federal Trade Commission (FTC) qui est chargée de vérifier si les entreprises ont mal protégé les informations personnelles de leurs clients contre un piratage. Elle peut imposer des amendes.

Les données personnelles peuvent aussi être protégées par des lois au niveau des Etats, plus ou moins contraignantes. Tous les Etats obligent désormais à révéler les fuites de données.

Les autorités des Etats ou des particuliers peuvent intenter des actions en justice pour réclamer des dommages.

En Europe, depuis le RGPD introduit en mai, le règlement qui a renforcé la sécurité des données personnelles, les entreprises peuvent recevoir une amende allant jusqu'à 4% de leur chiffre d'affaires annuel mondial si elles ne respectent pas les règles, soit 1,6 milliard de dollars en ce qui concerne Facebook.

Le groupe semble en tout cas avoir respecté le délai européen de 72 heures maximum pour rendre publique une fuite de données.

© 2018 AFP

Vous avez aimé cet article ? Partagez-le avec vos amis avec les boutons ci-dessous.