Faille Facebook : « Aucune preuve » d’accès frauduleux à d’autres applications
Faille Facebook : « Aucune preuve » d’accès frauduleux à d’autres applications
Par Martin Untersinger
Les pirates auraient pu, en plus de prendre le contrôle des comptes Facebook, accéder aux données des services comme Tinder, qui exigent de leurs utilisateurs qu’ils utilisent leur compte Facebook pour se connecter.
Bonne nouvelle pour les utilisateurs de Facebook. Après la faille de sécurité qui a été rendue publique vendredi 28 septembre, le réseau social n’a « jusqu’ici » détecté aucun accès indu à des applications qui utilisent Facebook pour identifier leurs utilisateurs.
« Nous avons analysé toutes les traces de connexion liées aux applications tierces installées ou connectées pendant l’attaque de la semaine dernière. Notre enquête n’a jusqu’ici révélé aucune preuve que les attaquants aient accédé à une quelconque application à travers Facebook », écrit Guy Rosen, vice-président de Facebook.
Des services comme le réseau social Pinterest, le système de réservation de logements Airbnb ou l’application de rencontres Tinder demandent ainsi à leurs utilisateurs d’utiliser leur compte Facebook pour accéder à leurs services. Certains craignaient donc qu’outre l’accès à la cinquantaine de millions de comptes Facebook, les pirates aient pu avoir également accès aux données des nombreuses applications utilisant le « Facebook Login ». Cela aurait démultiplié les conséquences potentielles de ce qui est déjà une sacrée épine dans le pied de Facebook.
Une inconnue de taille demeure
Si le spectre de l’accès à des applications tierces par Facebook semble s’éloigner, une inconnue de taille demeure : on ne sait toujours pas si des comptes Facebook ont été concrètement piratés à la suite du vol des clés d’accès de cinquante millions d’entre eux.
La semaine dernière, Facebook avait révélé avoir fait l’objet d’une attaque lors de laquelle des pirates ont dérobé des « tokens », une clé permettant l’accès total à près de 50 millions de comptes. Le réseau social a rapidement circonscrit l’attaque, qui tombe au plus mal pour l’entreprise, déjà en difficulté sur la question de la sécurité des données, et a lancé une enquête interne, toujours en cours.