Vendredi (5), il y a une semaine, Facebook a subi une attaque qui a touché 50 millions de comptes et a provoqué la déconnexion d’un total de 90 millions de. Au milieu du débat politique en France, la question a attiré l’attention mais est restée “tiède” dans les jours qui ont suivi. Le réseau social affirme que l’enquête préliminaire est en cours, mais il a partagé certaines informations avec les utilisateurs et est devenu la cible d’actions en justice, même en France.
Sommaire
Mise à jour sur la sécurité
C’est vendredi après-midi (28), heure de Paris, que Facebook a rendu public une note officielle disant que leur équipe d’ingénieurs avait découvert ce qu’ils ont appelé un incident de sécurité qui a touché près de 50 millions de comptes, sans en communiquer le nombre exact. Il a ajouté que les pirates informatiques avaient exploité une faille dans le code qui a eu un impact sur “See How” (qui vous permet de voir comment votre profil apparaît aux autres personnes).
Le réseau social affirme que l’équipe a découvert l’incident à cette date, mais ne signale pas réellement quand l’incident s’est produit. Il n’est pas clair si la découverte a eu lieu au moment de la tentative ou si elle a été faite après (peu ou longtemps après) que l’invasion ait effectivement eu lieu.
L’invasion (un mot utilisé par le réseau social) a permis de voler des jetons d’accès, “qu’ils utilisaient pour entrer dans les comptes des gens”. À ce stade, Facebook prétend qu’ils ont pénétré dans les comptes des utilisateurs sans autorisation. La version anglaise de la déclaration est plus douce : “they could then use to take over people?s accounts”.
À ce stade, Facebook ne présume pas non plus de l’existence ou non d’une fuite de données .
Que sont les jetons d’accès ?
Les jetons sont comme des clés numériques. Ils gardent les gens connectés à Facebook pour qu’ils n’aient pas à entrer leur mot de passe à chaque fois qu’ils accèdent à l’application.
C’est-à-dire qu’ils ont volé une “version de votre mot de passe”. À propos des jetons, la plateforme indique que lorsque quelqu’un se connecte à une application en utilisant “Facebook Login” et approuve la demande d’autorisation, l’application obtient un jeton d’accès (une clé numérique) qui fournit un accès protégé (crypté) et temporaire aux API de Facebook.
Un jeton est une chaîne de caractères qui identifie un utilisateur, une application ou une page, obtenue par diverses méthodes. Selon Facebook, le jeton comprend des informations sur la date d’expiration et l’application qui l’a généré. Dans le réseau social, il existe quatre types de jetons d’accès : utilisateur, application, page et client.
Qu’est-ce que Facebook a déjà fait ?
Le même vendredi, le réseau social a signalé qu’il avait corrigé la vulnérabilité dans “View As” (dans ce cas, il a suspendu l’accès à l’appel) et a informé les autorités de ce qui s’était passé.
Avec le risque que des envahisseurs en possession de ces jetons accèdent aux comptes des utilisateurs, l’équipe d’ingénieurs a choisi d’invalider les jetons des près de 50 millions de personnes dont Facebook sait déjà qu’elles ont été touchées. Par mesure de précaution, les jetons d’accès de 40 millions de comptes supplémentaires qui utilisaient “See How” ont également été invalidés l’année dernière, ce qui représente 90 millions de personnes touchées par la manœuvre et ses ramifications.
Vous avez été déconnecté
C’est cette initiative qui a généré l’impact immédiat ressenti par la plupart des utilisateurs dès la nuit précédente, jeudi (27). Environ 90 millions de personnes dans le monde avaient besoin de se reconnecter à Facebook et aux applications où elles utilisaient la connexion Facebook pour créer leurs comptes. Ces mêmes personnes, après s’être à nouveau connectées, ont reçu une notification en haut du fil d’actualité concernant l’incident.
Comment l’attaque de Facebook s’est-elle produite ?
Il n’y a pas eu de détails techniques, mais la plateforme a donné quelques indices sur ce qui s’est passé. L’attaque a exploré ce que l’on appelle les “interactions complexes impliquant une série de problèmes/événements” dans le code de Facebook.
Tout aurait commencé par un changement apporté à l’outil de téléchargement de vidéos en juillet 2017, qui a eu un impact sur le programme “See How”. Celui qui trouvait la faille l’utilisait pour accéder à un jeton et sautait de compte en compte pour voler de plus en plus de jetons, en série.
# Personne ne sait, personne n’a vuGuy Rosen, vice-président de la gestion des produits, qui a signé le communiqué et n’a pas partagé d’autres détails. Le réseau social n’a pas non plus été mis à contribution en cas d’utilisation abusive des comptes ou d’accès à des informations. “Nous ne savons pas non plus qui est derrière ces attaques ni où se trouvent les envahisseurs”, a fermé Rosen, promettant de nouvelles réinitialisations de jetons si elles étaient nécessaires.
Mark Zuckerberg, le fondateur du réseau social, a également publié une déclaration similaire dans son profil, dans laquelle il a déclaré qu’il n’était pas nécessaire pour quiconque de changer son mot de passe. Toutefois, ceux qui ne se souvenaient pas du mot de passe devaient faire appel à la réinitialisation sur le site.
L’exécutif a également déclaré que toute personne souhaitant se déconnecter de Facebook ou des applications et appareils connectés, juste pour être sûr, n’a qu’à se rendre dans la zone “Sécurité et connexion” dans les “Paramètres” et le faire en un seul clic.
Détails techniques sur l’attaque de Facebook
Le même jour, il y a eu une conférence de presse avec Rosen pour les médias américains. Quelques heures plus tard, de nouvelles informations sont arrivées. Pedro Canahuati, vice-président de l’ingénierie, de la sécurité et de la vie privée, a signé une mise à jour du communiqué de presse, étape par étape.
Il a déclaré qu'”au début de la dernière semaine de septembre”, il a été découvert qu’un acteur externe attaquait des systèmes et exploitait la défaillance qui exposait les jetons en HTML pendant le traitement d’un composant spécifique “See How” dans l’interaction de trois bogues.
“C’est une chose très sérieuse et nous faisons beaucoup de recherches”, a déclaré M. Rosen dans une vidéo.
La triangulation des erreurs :
Le “voir comment” devrait être une interface de visualisation. Mais dans la boîte d’édition qui vous permet de poster sur Facebook – en particulier la version qui permet de souhaiter un bon anniversaire – elle vous a donné la possibilité de poster une vidéo.
Une nouvelle version de l’uploader vidéo, introduite en juillet 2017, a généré un jeton d’accès qui donnait les mêmes autorisations que l’application mobile de Facebook.
Lorsque l’uploader apparaît dans “Voir comment”, il génère le jeton d’accès non pas pour le propriétaire du profil lui-même, mais pour l’utilisateur que vous recherchez.
La combinaison de ces trois bogues a créé le chemin parfait vers l’échec : utiliser “View As” pour afficher votre profil comme si vous étiez un ami, avoir un téléchargeur de contenu valide qui permet aux gens de vous souhaiter un bon anniversaire et un téléchargeur de vidéos qui génère un jeton d’accès alors que vous ne devriez pas l’avoir. Lorsque le jeton a été généré, il n’était pas destiné à l’utilisateur mais à la personne consultée. Le jeton était disponible dans le HTML de la page, et les intrus ont pu l’extraire et se connecter comme si c’était l’autre utilisateur que vous recherchiez, sur 50 millions de comptes.
Dès lors, il y a eu des doutes sur le fait que les applications qui utilisent le Login Facebook étaient affectées. Et comme il s’agit d’un bogue né en 2017, le réseau social semble avoir fait des pas en arrière dans la mise à jour du code. Beaucoup de gens se sont plaints du comportement de Facebook ces derniers jours. Le mien, par exemple, a ramené plusieurs groupes que j’ai déjà quittés.
Aucune preuve de connexion à Facebook
Rosen n’a manifesté à nouveau que mardi (2). Selon lui, lors du redémarrage des jetons d’accès, les comptes des utilisateurs étaient protégés. Et, ayant terminé l’analyse des logins de toutes les applications tierces installées ou connectées pendant l’attaque, l’enquête n’a trouvé aucune preuve jusqu’à présent que des intrus ont accédé à des applications en utilisant le Login Facebook ? tant que le développeur utilise les SDK officiels.
“Pour plus de prudence, car certains développeurs n’ont peut-être pas utilisé nos SDK – ou vérifié régulièrement si les jetons d’accès à Facebook étaient valides – nous développons un outil permettant aux développeurs d’identifier manuellement les utilisateurs de leurs applications qui pourraient avoir été affectés, afin qu’ils puissent ensuite les déconnecter”, a ajouté M. Rosen, qui n’a plus communiqué ou donné un délai aux développeurs pour que ce nouvel outil arrive.
La routine des lancements de nouvelles fonctionnalités sur Facebook s’est déroulée normalement, y compris les fonctions pour les élections de 2018, Market Place et les pages et marques de fans. Le réseau social n’a pas voulu commenter les incidents concernant le retour des groupes, les déconnexions non souhaitées et autres plaintes qui sont apparues dans le réseau social lui-même et sur Twitter.
Le 12 octobre, le réseau social a fait le point sur l’affaire et a déclaré que le nombre de comptes engagés était inférieur aux prévisions ? bien qu’il en ait délogé 90 millions : “moins de personnes ont été touchées que nous le pensions au départ. Sur les 50 millions de personnes qui ont eu accès au jeton compromis, nous pensons que 30 millions d’entre elles se sont fait voler leur jeton”, plus de détails dans les dernières nouvelles. Le site web a également expliqué quelles données avaient été compromises.
