En ce 1er mai 2018, fichier photo, Le PDG de Facebook, Mark Zuckerberg, prononce le discours d'ouverture du F8, Conférence des développeurs de Facebook à San José, Californie Facebook dit avoir récemment découvert une faille de sécurité affectant près de 50 millions de comptes d'utilisateurs. Dans un article de blog, Vendredi, 28 septembre la société affirme que les pirates ont exploité sa fonctionnalité « Afficher en tant que », qui permet aux gens de voir à quoi ressemblent leurs profils pour quelqu'un d'autre. Facebook dit avoir pris des mesures pour résoudre le problème de sécurité et alerté les forces de l'ordre. (AP Photo/Marcio José Sanchez, Déposer)
Facebook a signalé une faille de sécurité majeure dans laquelle 50 millions de comptes d'utilisateurs ont été consultés par des attaquants inconnus.
Les attaquants ont acquis la possibilité de « prendre le contrôle » de ces comptes d'utilisateurs, Facebook a dit, en volant les clés numériques que l'entreprise utilise pour garder les utilisateurs connectés. Ils pourraient le faire en exploitant trois bogues distincts dans le code de Facebook.
La société a déclaré avoir corrigé les bogues et déconnecté les 50 millions d'utilisateurs violés - plus 40 millions de personnes vulnérables à l'attaque - afin de réinitialiser ces clés numériques. Les utilisateurs n'ont pas besoin de changer leurs mots de passe Facebook, Ça disait.
Facebook a déclaré qu'il ne savait pas qui était derrière les attaques ni où ils étaient basés. Dans un appel avec des journalistes vendredi, Le PDG Mark Zuckerberg, dont le propre compte a été compromis, a déclaré que les attaquants auraient eu la possibilité d'afficher des messages privés ou de publier sur le compte de quelqu'un, mais il n'y a aucun signe qu'ils l'ont fait.
"Nous ne savons pas encore si l'un des comptes a été effectivement utilisé à mauvais escient, " a déclaré Zuckerberg.
Le piratage est le dernier revers de Facebook au cours d'une année tumultueuse de problèmes de sécurité et de confidentialité. Jusque là, bien que, aucun de ces problèmes n'a ébranlé de manière significative la confiance des 2 milliards d'utilisateurs mondiaux de l'entreprise.
Ce dernier piratage impliquait des bogues dans la fonction "Afficher en tant que" de Facebook, qui permet aux gens de voir comment leurs profils apparaissent aux autres. Les attaquants ont utilisé cette vulnérabilité pour voler les clés numériques, appelés « jetons d'accès, " des comptes des personnes dont les profils ont été recherchés à l'aide de la fonction "Afficher en tant que". L'attaque s'est ensuite déplacée d'un ami Facebook d'un utilisateur à un autre. La possession de ces jetons permettrait aux attaquants de contrôler ces comptes.
L'un des bugs datait de plus d'un an et affectait la façon dont la fonction "Afficher en tant que" interagissait avec la fonction de téléchargement de vidéos de Facebook pour publier des messages de "joyeux anniversaire". dit Guy Rosen, Vice-président de la gestion des produits de Facebook. Mais ce n'est qu'à la mi-septembre que Facebook a remarqué une augmentation de l'activité inhabituelle, et ce n'est que cette semaine qu'il a appris l'attaque, dit Rosen.
"Nous n'avons pas encore pu déterminer s'il y avait un ciblage spécifique" de comptes particuliers, Rosen a déclaré lors d'un appel avec des journalistes. "Cela semble large. Et nous ne savons pas encore qui était derrière ces attaques et où elles pourraient être basées."
Ni les mots de passe ni les données de carte de crédit n'ont été volés, dit Rosen. Il a déclaré que la société avait alerté le FBI et les régulateurs aux États-Unis et en Europe.
Jake Williams, un expert en sécurité chez Rendition Infosec, a déclaré qu'il craignait que le piratage ait pu affecter des applications tierces.
Williams a noté que la fonction "Facebook Login" de la société permet aux utilisateurs de se connecter à d'autres applications et sites Web avec leurs informations d'identification Facebook. "Ces jetons d'accès qui ont été volés montrent quand un utilisateur est connecté à Facebook et cela peut suffire pour accéder au compte d'un utilisateur sur un site tiers, " il a dit.
Facebook a confirmé vendredi soir que les applications tierces, ainsi que sa propre application Instagram, aurait pu être touché.
"La vulnérabilité était sur Facebook, mais ces jetons d'accès permettaient à quelqu'un d'utiliser le compte comme s'il en était lui-même le titulaire, " dit Rosen.
La nouvelle a éclaté au début de cette année qu'une société d'analyse de données autrefois employée par la campagne Trump, Cambridge Analytica, avait indûment accédé aux données personnelles de millions de profils d'utilisateurs. Ensuite, une enquête du Congrès a révélé que des agents de Russie et d'autres pays publiaient de fausses publicités politiques depuis au moins 2016. En avril, Zuckerberg a comparu lors d'une audience du Congrès axée sur les pratiques de confidentialité de Facebook.
Le bogue de Facebook rappelle une attaque beaucoup plus importante contre Yahoo dans laquelle les attaquants ont compromis 3 milliards de comptes, assez pour la moitié de la population mondiale. Dans le cas de Yahoo, les informations volées comprenaient les noms, adresses mail, les numéros de téléphone, dates de naissance et questions et réponses de sécurité. Il faisait partie d'une série de hacks Yahoo sur plusieurs années.
Les procureurs américains ont ensuite reproché aux agents russes d'avoir utilisé les informations qu'ils avaient volées à Yahoo pour espionner les journalistes russes, Les représentants des gouvernements américain et russe et les employés des services financiers et d'autres entreprises privées.
Dans le cas de Facebook, il est peut-être trop tôt pour savoir à quel point les attaquants étaient sophistiqués et s'ils étaient liés à un État-nation, dit Thomas Rid, professeur à l'Université Johns Hopkins. Rid a déclaré qu'il pourrait également s'agir de spammeurs ou de criminels.
" Rien de ce que nous avons vu ici n'est si sophistiqué qu'il nécessite un acteur étatique, " a déclaré Rid. " Cinquante millions de comptes Facebook aléatoires ne sont intéressants pour aucune agence de renseignement. "
Ed Mierzwinski, le directeur principal du groupe de défense des consommateurs U.S. PIRG, a déclaré que la violation était "très troublante".
"C'est encore un autre avertissement que le Congrès ne doit pas promulguer de législation nationale sur la sécurité des données ou les violations de données qui affaiblit les lois actuelles de l'État sur la protection de la vie privée, préempte les droits des États à adopter de nouvelles lois qui protègent mieux leurs consommateurs, ou refuse à leurs procureurs généraux les droits d'enquêter sur les violations ou de faire appliquer ces lois, ", a-t-il déclaré dans un communiqué.
L'analyste de Wedbush Michael Pachter a déclaré que "le point le plus important est que nous avons découvert d'eux, " c'est-à-dire Facebook, par opposition à un tiers.
"En tant qu'utilisateur, Je veux que Facebook protège mes données de manière proactive et m'informe lorsqu'elles sont compromises, " il a dit.
© 2018 La Presse Associée. Tous les droits sont réservés.
