Le 28 septembre dernier, Facebook annonçait le piratage d’environ 50 millions de comptes dans une attaque considérée comme étant la plus importante de l’histoire du réseau social. Selon Facebook, les attaquants ont exploité une vulnérabilité de sécurité résultant de l’interaction de trois bogues distincts sur deux fonctionnalités du réseau social, à savoir, « View As », la fonctionnalité qui permet à l’utilisateur de voir son propre compte comme peuvent le voir les autres utilisateurs et une nouvelle version du téléchargeur vidéo de Facebook, un outil destiné à télécharger facilement des vidéos d’anniversaire.
Cependant, le vendredi dernier, deux semaines après l’annonce de l’attaque, Facebook a revu à la baisse le nombre de comptes affectés par la rocambolesque attaque. Sur les 50 millions de compte Facebook annoncés au départ comme ayant été affectés, seulement 30 millions ont vu leur jeton d’accès volé dont 14 millions d’utilisateurs ont été dépouillés de leurs informations confidentielles, notamment le statut de la relation, la religion, la ville d’origine, la ville actuelle déclarée, la date de naissance.
En effet, les ingénieurs de Facebook ont remarqué un pic d’activité inhabituel à partir du 14 septembre dernier et une enquête a permis de découvrir une attaque en cours et de déterminer qu’une faille de sécurité est à l’origine, le 25 septembre. Le 27 septembre, il a été mis fin à l’activité malveillante, les comptes dont le jeton a été affecté ont été réinitialisés, un correctif mis au point a été envoyé aux utilisateurs pour la mise à jour des comptes utilisateurs. Selon Facebook, par précaution la fonctionnalité « View As », à l’origine de l’attaque a été désactivée, entre temps. Une enquête fédérale est en cours afin de connaitre l’identité des attaquants.
Cette nouvelle attaque est arrivée au moment où le réseau social, qui était en train de se refaire une nouvelle image, est la cible d’une nouvelle enquête de la SEC (US Securities and Exchange Commission) sur les discours de Facebook à propos de l’affaire Cambridge Analytica. Par ailleurs, des groupes de défense des libertés civiles et des droits numériques demandent également, depuis longtemps, à des sociétés de technologie telles que Facebook de minimiser la quantité de données stockées sur leurs utilisateurs, afin de minimiser les conséquences des piratages.
Cette attaque avait fait réagit, également, les sénateurs. « Il s’agit là d’un autre indicateur qui montre que le Congrès doit prendre des mesures pour protéger la vie privée et la sécurité des utilisateurs des médias sociaux », a déclaré dans un communiqué le sénateur démocrate Mark Warner. « Une enquête approfondie devrait être menée rapidement et rendue publique afin que nous puissions mieux comprendre ce qui s’est passé ». En effet, nous pensons savoir ce qui s’est passé.
Dans les détails, d’hier, qui minimisent la portée de l’attaque, Facebook a apporté plus d’informations sur ce qui s’est passé lors de l’attaque. En effet, les attaquants ont commencé par contrôler les comptes de quelques utilisateurs qui étaient connectés à leurs amis. Ces comptes ont été utilisés par les pirates pour voler les jetons des comptes des amis et ceux des amis des amis jusqu’à atteindre 400 000 comptes utilisateurs qui ont été automatiquement chargés par les assaillants, selon Facebook. Ces derniers ont pu accéder à tout ce dont les 400 000 personnes auraient pu voir en consultant leurs propres profils par « View As » tel que les publications sur leurs calendriers, les listes d’amis, les groupes dont ils sont membres et les noms des dernières conversations Messenger et bien d’autres informations.
Environ 30 millions de comptes ont été en définitif affectés par le biais des 400 000 premiers contrôlés par les pirates. 15 millions de personnes n’ont été victimes que de vol de nom et de coordonnées, selon le réseau social. Par contre, les assaillants ont pu récupérer des informations sensibles dans 14 millions de comptes Facebook telles que le nom d’utilisateur, le sexe, la langue, le statut de la relation, la religion, la ville d’origine, la ville actuelle déclarée, la date de naissance, les types d’appareils utilisés pour accéder à Facebook, niveau d’éducation, travail, les 10 derniers lieux dans lesquels ils ont ouvert ou ajouté des tags, site Web, les personnes ou les pages qu’ils suivent et les 15 recherches les plus récentes. Les hackers n’ont pas pu voler les informations des 1 million de comptes restant avant que les ingénieurs de Facebook n’aient mis fin à l’attaque.
Selon Facebook, l’attaque n’a pas eu raison de Messenger, Messenger Kids, Instagram, WhatsApp, Oculus, Workplace, les applications tierces, les comptes publicitaires ou de développeur.
Facebook invite les utilisateurs à vérifier ici, si leurs comptes ont été affectés et promet d’informer les 30 millions de personnes par messages « pour leur expliquer les informations auxquelles les assaillants auraient pu accéder, ainsi que les mesures à prendre pour se protéger, notamment contre les courriels, les SMS ou les appels suspects. »
Pour en savoir plus