Faille Facebook : un bourbier dont la gravité dépend du piratage (ou non) de 50 millions de comptes
Faille Facebook : un bourbier dont la gravité dépend du piratage (ou non) de 50 millions de comptes
Par Martin Untersinger
Facebook a révélé que des pirates avaient récupéré les clés d’accès à un peu moins de 50 millions de comptes. Nous avons répondu à vos questions lundi lors d’un tchat.
Vendredi 28 septembre, Facebook a révélé l’existence d’une faille de sécurité ayant permis à des pirates de récupérer les clés d’accès à un peu moins de 50 millions de comptes.
Nous avons répondu à vos questions sur cette affaire inédite. En voici une sélection.
Sirka : En admettant qu’on ait été piraté, cela signifie-t-il qu’ils possèdent le mot de passe du compte ? D’une manière plus globale, comment ont-ils fait pour pirater ces 50 millions de comptes ?
Les pirates ne disposent pas des mots de passe, c’est un peu plus subtil que ça. Lorsque vous vous connectez à Facebook (par exemple sur une application pour smartphone), vous n’avez pas à saisir à nouveau votre mot de passe à chaque fois que vous rouvrez l’application. C’est parce que, lors de la première connexion, Facebook a généré une clé (un « token ») : à chaque fois que vous ouvrez l’application, Facebook vérifie la présence et la validité de ce token. Cela lui permet de vérifier que vous avez bien le bon mot de passe sans avoir à vous le demander à chaque fois.
Un peu moins de 50 millions de tokens ont été dérobés en utilisant un défaut dans le code du réseau social. Avec ces éléments, il est possible de prendre le contrôle total des comptes (y compris de s’identifier sur des sites qui utilisent Facebook comme moyen de s’y connecter, comme Tinder). Facebook ne sait pas (encore) si ces tokens ont été effectivement utilisés.
C’est un petit peu comme si Facebook était un immeuble : la loge des gardiens a été cambriolée, les voleurs ont cassé une vitre et se sont emparés des clés de tous les appartements. On ne sait pas à l’heure actuelle si les voleurs sont rentrés dans les appartements, dont toutes les serrures ont désormais été changées.
Un contenu de cette page n'est pas adapté au format mobile, vous pouvez le consulter sur le site web
Ercana : Quelles données sont-elles concernées par la faille ? (Contenu du compte FB, mot de passe, question de sécurité… ?)
A partir du moment où vous disposez du token, comme c’est le cas des pirates, il est possible de prendre le contrôle total du compte : messages privés échangés, photos postées (même celles dont la diffusion a été restreinte par des paramètres de confidentialité), pages aimées, liste d’amis… Bref, tout le compte Facebook. Et ce sans compter les données stockées par les services auxquels les utilisateurs peuvent se connecter via leur compte Facebook : Tinder et Airbnb sont deux exemples.
Notons deux choses. D’abord, les tokens compromis ont été « désactivés », et sont donc désormais inutilisables. Ensuite, Facebook n’est pas encore certain que ces derniers ont été réellement utilisés.
Kikoo : Admettons que des données sont entre les mains de ces pirates. Qu’arrive-t-il ensuite à nos données ? Ils les vendent ? Ils s’en servent pour mettre une pression sur Facebook ?
Tout est possible : elles ont pu être récupérées par un Etat pour influencer l’élection de mi-mandat aux Etats-Unis, par des pirates pour élaborer des e-mails de hameçonnage (une technique qui consiste à récupérer des identifiants et des mots de passe en abusant de la crédulité de sa cible, et qui fonctionne d’autant mieux si l’on a une connaissance fine de ladite cible), des commerciaux peu scrupuleux pour mener une campagne de publicité ultra-ciblée, une mafia pour faire de l’usurpation d’identité ou encore pour faire du chantage à Facebook…
Noit De Cajou : Avons-nous une quelconque piste sur les responsables ?
Pour l’instant, Facebook dit n’avoir aucune indication sur les responsables de l’attaque. Les détails donnés par l’entreprise ne permettent pas de déterminer avec certitude si ces pirates étaient très compétents ou non. Si ces pirates ont été méticuleux, il est possible que leur identité reste secrète. Cependant, Facebook dispose de gros moyens et a reçu l’assistance du FBI.
Philippe : « Pour circonscrire la faille, Facebook a déconnecté de force ces 50 millions d’utilisateurs, ainsi que 40 millions d’autres, par précaution » : cela veut dire que si on a été déconnecté, on fait partie du lot ?
Pour récupérer les tokens, les pirates ont utilisé un défaut dans le code de la fonctionnalité « Aperçu de mon profil ». Cette dernière permettait de vérifier à quoi ressemblait son profil lorsqu’il était visité par une tierce personne. Bien utile pour vérifier les paramètres de confidentialité (par exemple que vos photos un brin compromettantes ne pouvaient être vues par votre supérieur hiérarchique).
Facebook, outre les 50 millions de comptes dont les tokens ont été volés, a décidé de déconnecter 40 millions de comptes supplémentaires, dont les tokens n’ont pas été subtilisés mais dont les profils ont été utilisés par des tiers dans la fonction « Aperçu de mon profil » entre juillet 2017 (le moment où le défaut est apparu) et aujourd’hui.
Pour résumer, si vous avez été déconnecté, vous faites soit partie du groupe de 50 millions de comptes dont les tokens ont été volés, ou bien du groupe de 40 millions dont le profil a été utilisé dans la fonctionnalité « Aperçu de mon profil » l’année passée. Vous avez donc 55 % de chances, si vous avez été déconnecté, d’être directement touché par la faille.
Mathilde : Si on possède une page professionnelle (reliée à un compte personnel) et qu’on a déjà mis en place des publicités payantes, on a dans le passé rentré nos coordonnées bancaires. Y a-t-il un risque que celles-ci aient été piratées ?
« Aucune information de carte bancaire n’a été dérobée », a affirmé le vice-président de Facebook, Guy Rosen, lors d’une conférence de presse vendredi.
Léonard : Quelles peuvent être les conséquences pour l’entreprise Facebook ? Son cours en Bourse ?
C’est un bourbier potentiel pour Facebook, dont la gravité dépend d’une chose : s’il est avéré que les pirates ont piraté tout ou partie des 50 millions de comptes concernés par la faille.
Des procès collectifs ont déjà été lancés, dès vendredi, aux Etats-Unis. Côté européen, où règne depuis le mois de mai la nouvelle loi sur les données personnelles (RGPD), Facebook pourrait s’exposer à une amende d’environ 1,4 milliard de dollars, notamment si des données personnelles d’Européens ont été détournées.
Plus généralement, cette affaire est une nouvelle polémique dans l’annus horribilis de Facebook, qui fragilise encore un peu plus sa position vis-à-vis des responsables politiques américains et européens (qui sont déjà en colère). On se rappelle, par exemple, même s’il ne s’agissait pas d’un piratage, de l’affaire Cambridge Analytica.
Depuis vendredi midi, l’action de Facebook a perdu environ 1,5 %, ce qui n’est pas énorme.