Facebook affirme n’avoir trouvé aucune preuve « jusqu’à présent » que les pirates ont accédé à des applications externes par le biais de Facebook Login.
Facebook a déclaré mardi qu’il n’y avait « jusqu’à présent » aucune preuve que les pirates responsables de la faille de sécurité massive de la semaine dernière aient accédé à des applications tierces via Facebook Login.
Les pirates responsables de l’attaque, qui a touché au moins 50 millions d’utilisateurs de Facebook, ont exploité une vulnérabilité du code du site web pour voler des jetons d’accès: des clés numériques qui permettent aux utilisateurs de rester connectés lorsqu’ils entrent leur nom d’utilisateur et leur mot de passe.
Après le piratage, Facebook a réinitialisé les jetons pour 90 millions de comptes, invitant ces utilisateurs à se reconnecter à Facebook, ainsi qu’à toutes les applications externes utilisant une connexion au réseau social.
Dans un article de blog, Guy Rosen, vice-président de la gestion des produits de la firme, a déclaré : « Nous avons maintenant analysé nos données concernant les applications tierces installées ou utilisées pendant l’attaque découverte la semaine dernière. Cette enquête n’a jusqu’à présent trouvé aucune preuve que les assaillants aient accédé à des applications utilisant Facebook Login. »
Maintenant que la société de Mark Zuckerberg a réinitialisé les jetons, les développeurs tiers ne devraient pas être dans une situation délicate, tant qu’ils utilisent les kits de développement logiciel (SDK) officiels de Facebook et vérifient régulièrement la validité des jetons d’accès de leurs utilisateurs. Mais pour être sûr que le problème est résolu pour tout le monde, Facebook est en train de créer un outil permettant aux développeurs d’identifier manuellement les utilisateurs susceptibles d’avoir été affectés, afin de pouvoir les déconnecter.
Bien sûr, la phrase clé est « jusqu’à présent ». L’enquête est toujours en cours et il y a toujours une chance que les choses changent à mesure que l’entreprise en apprend davantage.
En tout état de cause, l’attaque de Facebook montre à quel point les conséquences pourraient être graves. Pendant des années, la société a déclaré que Facebook Login était un outil précieux pour les développeurs et les utilisateurs. Maintenant, les développeurs se démènent pour savoir si leurs utilisateurs ont été affectés par le piratage.
