iStock

Brèches de sécurité sur Facebook : un incident aux vastes répercussions

Plusieurs dizaines de millions de comptes utilisateurs ont été affectés par la brèche révélée en fin de semaine dernière. De nombreuses zones d’ombre demeurent, mais certains alertent déjà au sujet des risques de hameçonnage.

Facebook vient de reconnaître que son service a fait l’objet d’une brèche de sécurité ayant touché directement près de 50 millions de comptes, et potentiellement 40 millions d’autres.

Guy Rosen, vice-président de Facebook en charge des produits, a donné les quelques détails actuellement disponibles concernant la brèche dans Facebook sur un billet de blog. Il y explique que celle-ci a été découverte dans l'après-midi du mardi 25 septembre. Selon lui, des attaquants ont exploité une vulnérabilité dans la fonctionnalité « Voir en tant que » – qui permet de voir à quoi ressemble son propre profil pour quelqu'un d'autre – et ainsi obtenu des jetons d'accès pour près de 50 millions de comptes.

Un impact au-delà du seul Facebook

Guy Rosen indique donc que Facebook a « réinitialisé les jetons d'accès des quelque 50 millions de comptes que nous savons affectés pour protéger leur sécurité. Nous prenons également la précaution de réinitialiser les jetons d'accès de 40 millions d'autres comptes qui ont fait l'objet d'une recherche ‘Voir en tant que’ au cours de l’année passée ». Au total, ce sont donc près de 90 millions d’utilisateurs du réseau social qui ont dû s’y reconnecter – ainsi qu’aux applications qui utilisent le service d’authentification Facebook Login.

A l’origine de la brèche, Guy Rosen évoque un changement apporté en juillet 2017 à la fonction de téléversement de vidéos, « qui a eu un impact sur ‘Voir en tant que’ ». Mais lors d’un point presse téléphonique, Guy Rosen s’est avéré incapable d’indiquer quelles données sont susceptibles d’avoir été obtenues par les attaquants ni ce à quoi ils ont pu se connecter, forts des jetons dérobés.

Tim Mackey, évangéliste technique chez Synopsys Software Integrity Group, souligne, pour les utilisateurs de Facebook et plus particulièrement de son service d’authentification, l’importance de « passer en revue les paramètres d’applications » connectées, ainsi que de jeux.

Chez CA Veracode, Chris Wysopal estime que l’attaque a probablement été automatisée pour collecter une telle quantité de jetons. Et il souligne quelques questions toujours en attente de réponse : « nous ne savons pas si les attaquants ont été capables de récupérer toutes les données de profil des utilisateurs concernés. On ne sait pas exactement combien de temps les attaquants ont pu y avoir accès, mais Facebook a déterminé que cela aurait pu durer un an ». Et de souligner au passé que dans ce cas précis, l'authentification à deux facteurs « pourrait ne pas avoir protégé un utilisateur puisque la vulnérabilité a été exploitée via un jeton d'accès, hors du flux d'authentification normal qui déclenche la vérification du second facteur ».

De nombreuses interrogations

De son côté, Tim Erlin, vice-président de Tripwire en charge des produits et de la stratégie, estime que chez Facebook, il y a aujourd’hui « lieu de s’inquiéter de toute répercussion liée au RGPD ». De fait, le réseau social pourrait, dans le cadre du nouveau règlement européen sur la protection des données personnelles, risquer une amende de rien moins que 1,6 Md$. Si tant est qu’il était démontré un manquement à ses obligations.

De nombreuses voix, en Europe, se sont déjà élevées pour demander des éclaircissements à Facebook, dont le secrétaire d’Etat au Numérique français, Mounir Mahjoubi.

Outre-Manche, l’homologue de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), le NCSC, a très vite publié des recommandations, cherchant en particulièrement à prévenir des risques renforcés de tentatives de phishing – et autres fraudes – dont les utilisateurs du réseau social concernés par sa brèche, et leurs contacts, pourraient faire l’objet. De fait, certaines données personnelles récoltées par les attaquants pourraient, à tout le moins, être utilisées dans des opérations d’usurpation d’identité ou de hameçonnage très ciblé enrichi à l’ingénierie sociale.

Avec nos confrères de SearchSecurity.com (groupe TechTarget).

Pour approfondir sur Cyberdélinquance