Faille de sécurité sur Facebook : les applis que vous utilisez ne semblent pas touchées
C'est une éclaircie dans la tempête médiatique qui a submergé Facebook depuis la fin du mois de septembre : en l'état actuel des choses, le réseau social n'a pas constaté que la vulnérabilité repérée dans son système a permis d'accéder frauduleusement à des applications ou des plateformes tierces.
Sous réserve que de prochaines investigations ne viennent pas nuancer ou contredire les constatations actuelles du site communautaire, c'est une excellente nouvelle : elle montre que l'incident reste circonscrit à Facebook (même si le problème reste de grande ampleur, avec 50 millions de comptes potentiellement touchés, dont des comptes européens) et qu'il n'a pas débordé de manière incontrôlable hors du réseau social.
« Nous avons analysé nos historiques d'évènements pour toutes les applications tierces installées ou connectées pendant l'attaque que nous avons découverte la semaine dernière. Cette enquête n'a jusqu'à présent trouvé aucune preuve que les attaquants ont accédé à des applications en utilisant la connexion Facebook », écrit Guy Rosen, le vice-président en charge de la gestion produit.
Vulnérabilité du nœud central
Il s'agit d'un enjeu crucial, car l'attaque a permis de dérober jetons d'authentification. C'est pour cela que Facebook a décidé d'autorité, parmi les premières actions d'urgence, de déconnecter toutes les sessions actives des comptes affectés, afin de forcer les propriétaires légitimes à se reconnecter. De cette façon, Facebook a coupé un éventuel accès utilisé pour aspirer des données personnelles, par exemple.
En effet, de nombreux services tiers optent exclusivement ou proposent une solution unique d'authentification (SSO, ou Single Sign-On), en l'occurrence Facebook Login -- celui-ci permet, en gros, de se connecter à un service en utilisant Facebook. L'on pouvait donc craindre légitimement que l'attaque contre Facebook affecte, par ricochet, la confidentialité des informations se trouvant ailleurs.
C'est tout le problème d'un système qui devient de facto un nœud central : si celui-ci fait défaut pour une raison ou pour une autre, les problèmes se répercutent sur tout ce qui repose dessus. Comme le note Wired, qui a sollicité des experts en sécurité informatique, il existe des méthodes pour limiter les risques liés au SSO, mais celles-ci sont trop peu mises en pratique.
À ce sujet, Guy Rosen profite de sa publication pour rappeler les bonnes pratiques à suivre si le Facebook Login est utilisé, comme l'emploi des outils officiels de l'entreprise. « Ceux-ci vérifieront automatiquement et chaque jour la validité des jetons d'accès et forceront une nouvelle connexion lorsqu'ils seront réinitialisés par Facebook », est-il écrit, par exemple en cas de jeton invalide.
Cette prise de parole résout donc pour le moment une interrogation clé. Elle n'adresse toutefois pas un autre pan du problème : à quoi ont bien pu servir les jetons d'accès dérobés ? Ont-ils permis d'aspirer des données personnelles ? Si oui, les 50 millions de comptes sont-ils touchés ? Leur piratage effectif est incertain. En la matière, Facebook, qui a comblé la faille, enquête toujours.
Au niveau européen, l'affaire est suivie de près. Dans la mesure où les opérations du site sont centralisées en Irlande, c'est l'autorité locale de protection des données qui est la première compétente à agir. C'est d'ailleurs à elle que Facebook a rendu compte quand la faille a été découverte. Cette affaire n'est pas à prendre à la légère sur le plan réglementaire : en effet, le RGPD est désormais actif.
https://www.numerama.com/tech/423926-des-millions-de-comptes-exposes-a-une-faille-que-risque-facebook-en-europe.html