Facebook a annoncé vendredi 28 septembre 2018 que 50 millions de comptes Facebook ont été affectés par une faille de sécurité permettant à l’auteur de l’attaque de se connecter à la place des utilisateurs touchés. Si le réseau social assure avoir réparé et circonscrit la faille en déconnectant de force un total de 90 millions d’utilisateurs, de nombreuses questions demeurent.
Décidément, Facebook enchaîne les déconvenues en 2018. Les scandales se suivent et impactent les utilisateurs du réseau social. Le dernier en date ? Facebook a annoncé vendredi 28 septembre 2018 avoir été affecté par une faille de sécurité de grande ampleur. 50 millions de comptes Facebook ont été touchés. Le réseau social a dû les déconnecter de force ainsi que 40 autres millions de comptes afin de circonscrire cette faille.

INTERACTIONS DE PLUSIEURS FAILLES
Facebook, qui assure avoir corrigé la vulnérabilité depuis, explique avoir détecté cette faille le 25 septembre dans l’après-midi. Concrètement, “l’auteur de l’attaque a exploité trois failles dans les codes de Facebook”, explique à L’Usine Digitale Yassir Kazar, le CEO de Yogosha, plateforme qui permet de tester les systèmes informatiques d’entreprises soucieuses de se protéger contre les hackers. La combinaison de ces trois failles a permis à l’auteur de récupérer les tokens ou jetons d’accès grâce auxquels les gens peuvent rester connecter à Facebook sans avoir à saisir à nouveau leur mot de passe à chaque utilisation.
L’une des failles a été trouvée dans le code de la fonctionnalité “View as” ou “Voir en tant que” grâce à laquelle les gens peuvent voir à quoi ressemble leur profil pour d’autres personnes. Alors qu’elle doit seulement être une fonction d’aperçu, elle contient un bug dans son code permettant de télécharger une vidéo via la fonction offrant la possibilité aux personnes de souhaiter un anniversaire à ses amis.
Mais une faille a aussi été trouvée dans le code de l’option de téléchargement de vidéo que Facebook a modifié en juillet 2017. Celui-ci génère un token d’accès pour l’application mobile de Facebook alors qu’il ne le devrait pas. Lorsque l’option de téléchargement apparait dans la fonctionnalité “View as”, il génère le token d’accès pour l’utilisateur dont le compte est regardé. Grâce à ces tokens de connexion, l’auteur de l’attaque a pu se connecter aux comptes Facebook des utilisateurs touchés. “Mais ce qui a été fait avec les données reste assez obscure pour l’instant”, ajoute Yassir Kazar.

FACEBOOK FOURNISSEUR D’IDENTITÉ POUR D’AUTRES SITES
“L’auteur de l’attaque a pu accéder aux informations des comptes touchés mais jusqu’où est-il allé, on ne le sait pas encore”, abonde Nicolas Chagny, le président de l’Internet Society France. De même, la Cnil Irlandaise, qui a été informée par Facebook, a dit attendre des détails urgents de la part de Facebook dont le nombre d’utilisateurs européens touchés et les risques encourus par ces utilisateurs. Surtout qu’une option de paiement est désormais disponible sur Messenger.
“Ce qui est dangereux, c’est l’écosystème autour de Facebook. Le réseau social se positionne comme un fournisseur d’identité pour de nombreux sites sur lesquels les utilisateurs peuvent se connecter via Facebook”, détaille Nicolas Chagny. Les auteurs de l’attaque ont-ils cherché à se connecter à d’autres sites via cette faille ? Facebook devrait en dire plus dans les heures ou les jours à venir. “On est dans le flou de la communication”, résume le président de l’Internet Society France.

IMPACT MONDIAL DU RGPD
“On attend d’un fournisseur d’authentification qu’il soit à un niveau de sécurité plus que maximal en termes d’identifications”, affirme Nicolas Chagny. “A partir du moment où Facebook se positionne sur ce segment, les mesures en matière de sécurité doivent être maximales. Or, 50 millions d’utilisateurs ont été touchés par cette attaque et ce n’est pas acceptable”, ajoute-t-il. Facebook a d’ores et déjà demandé l’aide du FBI pour enquêter, la Cnil irlandaise a été saisie mais toutes les Cnil européennes peuvent unir leurs forces pour enquêter depuis l’entrée en vigueur du RGPD. Un règlement qui pourra conduire à une éventuelle condamnation de l’Américain.
Avant mai 2018, une entreprise aurait pu cacher une telle information, comme Yahoo dans son temps… Depuis l’entrée en vigueur du RGPD, “les entreprises ont l’obligation légale de déclarer un tel incident à la Cnil dans les 72 heures puis aux utilisateurs concernés dans le mois”, détaille Nicolas Chagny. Ce dernier parle “d’un règlement européen qui a une portée mondiale” puisque toutes les personnes déconnectées ont reçu la même notification de la part de Facebook. A charge pour ce dernier d’être encore plus transparent et précis notamment sur les risques encourus par les utilisateurs.

Source: www.usine-digitale.fr