Les professionnels de la sécurité informatique plaisantent en disant qu’Oracle corrige au moins une faille Java chaque jour, et qu’au moins deux nouvelles failles apparaissent chaque jour. Et il semble que même Facebook n’ait pas échappé aux problèmes apportés par ces bugs, puisqu’ils avaient plusieurs machines envahies par un seul bug en Java.
L’équipe de sécurité explique en termes peu techniques ce qui s’est passé : un groupe d’employés de l’entreprise a accédé à un site de développement mobile, et ce site a été compromis, hébergeant un code malveillant qui a permis d’installer des logiciels malveillants sur les ordinateurs portables des utilisateurs. Alors que Facebook jure sur ses pieds et à genoux dans le maïs que toutes les machines qui s’y trouvent sont toujours à jour et avec un anti-virus installé et mis à jour, l’effraction ne pourrait se produire qu’à partir d’un bug récemment découvert.
Après que l’équipe de sécurité ait constaté l’effraction, tous les ordinateurs compromis ont été nettoyés correctement et la police locale a été avertie. En outre, une enquête a été menée pour en savoir plus sur ce qui a été compromis lors de l’effraction et comment cela s’est passé exactement.
La bonne nouvelle est que, selon Facebook, aucune données des utilisateurs n’a été compromise.
La mauvaise nouvelle (au moins pour Java) est que l’enquête a révélé que le code hébergé sur le site infecté utilisait un bogue jamais vu auparavant pour contourner les protections de sandbox et, dès lors, installer du code malveillant sur la machine des utilisateurs qui ont accédé au site.
Facebook a immédiatement informé Oracle, qui a publié une mise à jour de Java le 1er février, de la correction de ce problème et d’autres.
Dans la note, la société rappelle également que de nombreux autres utilisateurs en dehors de Facebook ont probablement été infectés, et que des machines dans le monde entier peuvent être infectées par ce virus. En d’autres termes, n’oubliez pas de tenir votre Java à jour et de le paramétrer pour qu’il ne s’exécute que lorsqu’on vous le demande. Et en cas de doute, formatez votre machine et recommencez.
