Facebook: des hackers ont pris le contrôle de 50 millions de comptes

Les difficultés s'accumulent pour Facebook. Dans un post de blog publié vendredi soir, le réseau social aux 2,2 milliards d'utilisateurs a annoncé qu'une faille de sécurité avait permis à des pirates de prendre le contrôle de 50 millions de comptes.

La vulnérabilité, découverte mardi par son équipe d'ingénieurs, a été « réparée » jeudi soir. La firme de Menlo Park a ouvert une enquête et alerté les autorités, dont le FBI. La société a aussi pris des « mesures de précaution » en déconnectant automatiquement de leurs comptes 90 millions d'utilisateurs jeudi soir. « Nous prenons cette affaire très au sérieux », a indiqué Mark Zuckerberg, lors d'une conférence téléphonique avec des journalistes vendredi.

Nom, ville de naissance, genre...

Le niveau d'accès et de contrôle exercé par les pirates reste pour le moment flou. Le PDG de Facebook a indiqué qu'ils n'avaient pas accédé aux échanges privés ni posté de messages à la place des véritables utilisateurs, selon les résultats préliminaires de l'enquête, mais s'est empressé d'ajouter que les conclusions « pourraient changer». « Jusqu'ici, nous savons qu'ils ont eu accès à des informations publiques comme le nom, la ville de naissance et le genre », a indiqué Mark Zuckerberg.

L'identité des hackers n'est pas encore connue et « pourrait ne jamais l'être », a déclaré Guy Rosen, le vice-président de l'entreprise en charge du management produit, qui a précisé que la complexité de l'attaque indiquait « un certain niveau» de la part des criminels. Géographiquement, leur cible est « assez large », et inclut des citoyens européeens, a précisé le dirigeant. L'agence irlandaise de protection des données a été notifiée.

Vulnérabilité de « view as »

Les attaquants ont exploité une vulnérabilité de la fonctionnalité « Aperçu du profil en tant que » (« view as ») qui permet aux usagers de voir leur page tel qu'elle apparaît à des tiers. Celle-ci leur a permis de débloquer des jetons d'accès, des sortes de clés numériques permettant aux utilisateurs de se connecter au site sans avoir à saisir leur mot de passe à chaque fois.

Les pirates se sont appuyés sur une « interaction complexe de trois bugs», a expliqué Guy Rosen. La première remonte à une fonctionnalité de téléchargement de vidéos lancée en juillet 2017, mais l'entreprise n'a découvert le problème qu'un an et deux mois plus tard. « Les vulnérabilités de sécurité sont très difficiles à trouver », s'est justifié Guy Rosen.

90 millions de comptes déconnectés

Le réseau social a pris « plusieurs mesures » pour protéger les utilisateurs. Il a suspendu la fonctionnalité « View as» et réinitialisé les jetons d'accès de 90 millions de comptes - 50 millions de comptes touchés par l'attaque et 40 millions de comptes supplémentaires (les tiers dont la fonction « view as » avait permis de se glisser dans leur peau). Les utilisateurs sont informés de la faille par le biais d'un message en haut de leur fil d'actualités quand ils se reconnectent à la plateforme. Leurs mots de passe n'ont pas été affectés et n'ont pas besoin d'être modifiés.

Confiance des utilisateurs

Ce piratage risque d'ébranler encore plus la confiance des utilisateurs, après le scandale Cambridge Analytica , du nom de cette firme britannique ayant accédé aux données personnelles de 87 millions de profils au printemps, et l'utilisation de la plateforme pour manipuler les électeurs, notamment lors de l'élection présidentielle américaine de 2016.

Au dernier trimestre, la société a annoncé une croissance du parc d'utilisateurs inférieure aux attentes des marchés. Et selon un récent sondage auprès de 3.413 utilisateurs américains du Pew Research Center , plus d'un quart ont supprimé l'application sur leur téléphone.

Mark Zuckerberg a indiqué que Facebook « devait faire plus pour prévenir ce genre d'attaques en amont », mais a aussi rappelé que « la sécurité était une bataille constante ». La société a précédemment annoncé qu'elle comptait doubler ses équipes de sécurité, pour passer de 10.000 à 20.000 personnes d'ici la fin de l'année.

L'action de Facebook a chuté de 3% après l'annonce, mais le cours a regrimpé à la mi-journée. Les marchés semblent avoir été rassurés par la capacité de l'entreprise à réagir rapidement.

Let's block ads! (Why?)