Un million de comptes Facebook piratés n’est jamais une bonne nouvelle. Vous savez ce qui est encore sympa ? Cinquante millions de comptes Facebook piratés.
Facebook a annoncé vendredi avoir subi une violation de données touchant jusqu’à 50 millions d’utilisateurs. Selon un rapport du New York Times, Facebook a découvert l’attaque mardi dernier et a contacté le FBI. L’exploit permettrait aux pirates de prendre le contrôle des comptes et, par précaution, le réseau social a automatiquement déconnecté plus de 90 millions de comptes potentiellement compromis.
« C’est un problème de sécurité très grave et nous le prenons très au sérieux », a déclaré à la presse Facebook Mark Zuckerberg lors d’une conférence de presse vendredi.
Les attaquants ont exploité les vulnérabilités du code de la fonctionnalité « Voir en tant que » de Facebook, une fonctionnalité qui permet aux utilisateurs de voir à quoi ressemble leur propre profil. Pour les pirates, cela leur permet de compromettre les jetons d’accès (tokens) qui pourraient ensuite être utilisés pour détourner les comptes cibles. Facebook a annoncé vendredi avoir corrigé la vulnérabilité jeudi soir, désactivé « Voir en tant que » et réinitialisé les jetons d’accès pour les 50 millions de comptes ciblés, ainsi que 40 millions de personnes ayant utilisé « Voir en tant que » depuis son implémentation l’année dernière.
« Cette attaque a exploité l’interaction complexe de plusieurs problèmes de notre code », écrit Guy Rosen, vice-président de Facebook en charge des produits. « Cela est dû à une modification apportée à notre fonctionnalité de téléchargement de vidéos en juillet 2017, qui a eu un impact sur « Voir en tant que ». Les auteurs de l’attaque n’avaient pas seulement besoin de trouver cette vulnérabilité et de l’utiliser pour obtenir un jeton d’accès, ils ont ensuite dû passer de ce compte à d’autres pour voler plus de jetons «
« Personne n’a besoin de changer de mot de passe », a-t-il poursuivi.
L’enquête n’en étant encore qu’à ses débuts, ni Facebook ni les forces de l’ordre ne savent encore qui est à l’origine de l’attaque, d’où proviennent les attaques ou si des données personnelles ont été consultées.
En Europe, cette fuite de données pourrait coûter cher au réseau social. En effet, Facebook pourrait se voir infliger une amende de 1,63 milliard de dollars par la Data Protection Commission.
La Commission explique que l’incident pourrait avoir enfreint le tout nouveau RGPD, ce qui entraînerait une lourde sanction financière si des citoyens de l’UE étaient touchés. Et d’après Mounir Mahjoubi, le secrétaire d’État chargé du numérique, des comptes français sont concernés.
