Facebook a été la cible d'une attaque qui a mis en danger 29 millions d'utilisateurs à des degrés divers.

Article mis à jour le 12 octobre.

Facebook a annoncé le soir du 28 septembre 2018 avoir découvert une faille de sécurité qui touchait potentiellement 50 millions de comptes — le réseau social a précisé le 12 octobre 2018 que le chiffre était moins important en pratique : 29 millions de comptes ont été touchés par l’attaque. Le premier, comportant 15 millions d’utilisateurs, a subi une attaque sans grande importance : les détails renseignés sur la fiche de contact Facebook, comprenant notamment un courriel ou un numéro de téléphone le cas échéant.

Le groupe de 14 millions d’utilisateurs a subi une attaque plus lourde et des informations comme le genre, la langue, la relation amoureuse, la ville de naissance ou les 10 derniers lieux taggés ont été récupérés par les attaquants. Un dernier groupe d’un million de personnes a été attaqué, mais les attaquants n’ont rien pu prendre en termes de données. Aucune autre information n’a été prise, y compris les conversations Messenger, les comptes Oculus, les données WhatsApp, Instagram etc.

Si vous avez été déconnecté de votre page Facebook le 28 septembre, c’est normal : le réseau social l’a fait par mesure de sécurité. Les mots de passe n’ont pas été dérobés : l’attaque concernait uniquement les tokens d’identification.

Que s’est-il passé ?

Facebook a expliqué avoir découvert une faille dans le fonctionnement de la fonction « Voir en tant que » qui vous permet d’afficher votre profil comme le verrait quelqu’un d’autre (un inconnu, par exemple). Cette fonctionnalité très pratique pour voir les informations que vous laissez en public ou que vous restreignez à vos amis a été détournée et permettait, à cause d’un bug, de prendre possession du compte. Les attaquants pouvaient donc utiliser la faille pour voler des jetons d’accès et continuer à utiliser votre compte en les utilisant. Ces jetons (tokens) sont utilisés, par exemple, pour faire l’interface entre votre compte et une application ou un site web

L’attaque n’est, cette fois, pas seulement théorique : Facebook sait qu’elle a eu lieu mais ne connaît ni l’identité des attaquants, ni leur pays de résidence. Les investigations sont en cours. La faille de sécurité a été colmatée, d’après le responsable de la sécurité du réseau social. Les autorités ont également été informées. La fonctionnalité nommée « View As » en anglais a, elle, été complètement désactivée le temps qu’un examen complet de son fonctionnement soit fait.

Enfin, le réseau social a invité ses utilisateurs à se rendre dans l’onglet Sécurité et connexion de leur compte pour regarder d’où ils étaient connectés. C’est ici qu’ils peuvent aussi vérifier que tout est en ordre.

Une première version de cet article stipulait qu’il fallait changer son mot de passe. Ce n’est pas nécessaire.

 

Partager sur les réseaux sociaux