Depuis le début de l'année, plusieurs entreprises ont signalé des attaques informatiques ciblant leurs ordinateurs et leurs réseaux internes. Après le Washington Post, le New York Times, Twitter, c'est au tour de Facebook d'annoncer une tentative de piratage. Mais selon le réseau social, l'attaque n'a eu aucune conséquence sur les données personnelles des membres.

Au début du mois de février, Twitter a annoncé avoir été la cible d'un piratage "extrêmement sophistiqué" qui a permis aux assaillants de récupérer des informations personnelles de 250 000 comptes. Immédiatement, les administrateurs du réseau social ont révoqué les sessions actives et imposé un changement de mot de passe aux propriétaires de ces profils.

Il apparaît aujourd'hui que le site spécialisé dans les messages de 140 caractères n'a pas été l'unique cible. Facebook a reconnu à son tour avoir été visé par une attaque "sophistiquée". Après une phase d'enquête pour déterminer l'ampleur de l'agression et ses éventuelles conséquences, l'équipe en charge de la sécurité affirme "n'avoir trouvé aucune preuve que les données des usagers ont été compromises".

D'après les explications fournies par Facebook, les auteurs de l'attaque ont contaminé plusieurs ordinateurs portables appartenant à des salariés du réseau social. Une fois achevé l'examen de ces machines, les experts en sécurité ont constaté que c'est un site compromis qui a permis d'installer le logiciel malveillant sur ces différents postes, en utilisant une faille 0 day dans le logiciel Java.

Facebook indique avoir alerté Oracle, qui a confirmé l'existence d'une faiblesse. Un correctif a été déployé le 1er février pour combler la faille. Ces dernières semaines, plusieurs alertes ont été émises par des organismes spécialisés, comme le CERTA, sur des vulnérabilités Java. La gravité des découvertes a contraint Oracle à publier en urgence plusieurs patchs, notamment mi-janvier et début février.

Dans son communiqué, Facebook précise que l'attaque informatique a touché d'autres sociétés. Ces dernières semaines, Twitter, le Washington Post et le New York Times ont signalé que leurs ordinateurs et leurs systèmes ont été ciblés par des tentatives de piratage. À titre de précaution, Facebook leur a communiqué ses informations ainsi qu'aux autorités.

En 2011, Facebook a mis en place un programme récompensant chaque découverte de faille informatique. Le réseau social offre 500 dollars minimum à chaque vulnérabilité rapportée. Si celle-ci est critique ou si le contributeur en signale plusieurs, Facebook peut augmenter la récompense. C'est ainsi qu'un participant a touché 5000 dollars pour une faille, tandis qu'un autre a gagné 7000 dollars pour six signalements.

Partager sur les réseaux sociaux

Articles liés