Pour l’instant, c’est le flou : Facebook a notifié ses utilisateurs et les autorités que suite à l’exploitation de vulnérabilités dans son code, des attaquants ont obtenu l’accès à près de 50 millions de comptes.
Voilà qui ne va pas redorer le blason du réseau social quant à la protection de la vie privée de ses utilisateurs. Facebook a annoncé vendredi avoir découvert un problème de sécurité, une attaque impactant potentiellement 50 millions de comptes. « Notre enquête en est encore à ses débuts. Mais, il est clair que les auteurs de l’attaque ont exploité une vulnérabilité du code de Facebook qui a eu un impact sur « Voir en tant que » (“View As”), une fonctionnalité qui permet aux gens de voir à quoi ressemble leur profil pour d’autres personnes » écrit Guy Rosen, le responsable Produits de Facebook.
« Cela a permis aux malfaiteurs de voler des jetons (ou tokens) d’accès Facebook, qu’ils pouvaient ensuite utiliser pour prendre le contrôle des comptes des gens ». Par jeton, l’entreprise désigne les clés stockées dans le navigateur ou dans le terminal permettant à l’utilisateur de rester connecté au réseau social… mais aussi de se connecter à des services tiers, Instagram par exemple, ainsi qu’aux applications et sites dotés d’un « Connect with Facebook ».
Facebook signale qu’il a depuis la découverte du problème, mardi, corrigé les trois vulnérabilités en cause. Celles-ci se logeaient dans le code du réseau social depuis juillet 2017, s’y étant glissé lors du changement apporté à la fonction de téléchargement de vidéos « qui a eu un impact sur “Voir en tant que” ». Le géant ne sait pas encore si les comptes compromis ont été utilisés « à mauvais escient » ni si les auteurs de l’attaque ont eu accès à des informations personnelles.
Un bug vieux de plus d’un an
Par mesure de précaution, Facebook a réinitialisé les jetons de sécurité des près de 50 millions de comptes touchés, ainsi que 40 millions de comptes supplémentaires « dont la fonctionnalité “Voir en tant que” a été utilisée au cours de l’année passée ». Si le réseau social ne recommande pas de changer de mot de passe, il signale qu’il est possible via la rubrique Sécurité et connexion des paramètres, de déconnecter tous les autres services connectés à Facebook.
Pour l’heure, Facebook n,’est donc pas en mesure d’indiquer à quel point ces 50 millions de comptes ont été compromis, ni la portée géographique de cette attaque. On sait déjà que des utilisateurs du réseau social en France ont vu la connexion à leur compte réinitialisée et le message les informant du problème affiché. Le FBI est associé à l’enquête et l’autorité irlandaise (siège européen de Facebook) de protection des données personnelles a été avertie.