Pour les utilisateurs, La révélation par Facebook d'une violation de données qui a donné aux attaquants l'accès à 50 millions de comptes soulève une question importante :que se passe-t-il ensuite ?

Pour les propriétaires des comptes concernés, et des 40 autres millions que Facebook considérait à risque, le premier ordre du jour peut être simple :reconnectez-vous à l'application. Facebook a déconnecté tout le monde des 90 millions de comptes afin de réinitialiser les clés numériques que les pirates avaient volées - clés normalement utilisées pour garder les utilisateurs connectés, mais qui pourrait également donner aux étrangers le contrôle total des comptes compromis.

Ensuite vient le jeu d'attente, alors que Facebook poursuit son enquête et que les utilisateurs recherchent des notifications indiquant que leurs comptes ont été ciblés par les pirates.

Ce que Facebook sait jusqu'à présent, c'est que les pirates ont eu accès aux 50 millions de comptes en exploitant trois bogues distincts dans le code de Facebook qui leur ont permis de voler ces clés numériques, techniquement connu sous le nom de « jetons d'accès ». La société dit avoir corrigé les bugs.

Les utilisateurs n'ont pas besoin de changer leurs mots de passe Facebook, Ça disait, bien que les experts en sécurité disent que cela ne peut pas faire de mal de le faire.

Facebook, cependant, ne sait pas qui était derrière les attaques ni où ils sont basés. Dans un appel avec des journalistes vendredi, Le PDG Mark Zuckerberg, dont le propre compte a été compromis, a déclaré que les attaquants auraient eu la possibilité d'afficher des messages privés ou de publier sur le compte de quelqu'un, mais il n'y a aucun signe qu'ils l'ont fait.

"Nous ne savons pas encore si l'un des comptes a été effectivement utilisé à mauvais escient, " a déclaré Zuckerberg.

Le piratage est le dernier revers de Facebook au cours d'une année tumultueuse de problèmes de sécurité et de confidentialité. Jusque là, bien que, aucun de ces problèmes n'a ébranlé de manière significative la confiance des 2 milliards d'utilisateurs mondiaux de l'entreprise.

Ce dernier piratage impliquait des bogues dans la fonction "Afficher en tant que" de Facebook, qui permet aux gens de voir comment leurs profils apparaissent aux autres. Les attaquants ont utilisé cette vulnérabilité pour voler des jetons d'accès sur les comptes des personnes dont les profils sont apparus dans les recherches à l'aide de la fonction « Afficher en tant que ». L'attaque s'est ensuite déplacée d'un ami Facebook d'un utilisateur à un autre. La possession de ces jetons permettrait aux attaquants de contrôler ces comptes.

L'un des bugs datait de plus d'un an et affectait la façon dont la fonction "Afficher en tant que" interagissait avec la fonction de téléchargement de vidéos de Facebook pour publier des messages de "joyeux anniversaire". dit Guy Rosen, Vice-président de la gestion des produits de Facebook. Mais ce n'est qu'à la mi-septembre que Facebook a remarqué une augmentation de l'activité inhabituelle, et ce n'est que cette semaine qu'il a appris l'attaque, dit Rosen.

"Nous n'avons pas encore pu déterminer s'il y avait un ciblage spécifique" de comptes particuliers, Rosen a déclaré lors d'un appel avec des journalistes. "Cela semble large. Et nous ne savons pas encore qui était derrière ces attaques et où elles pourraient être basées."

Ni les mots de passe ni les données de carte de crédit n'ont été volés, dit Rosen. Il a déclaré que la société avait alerté le FBI et les régulateurs aux États-Unis et en Europe.

Jake Williams, un expert en sécurité chez Rendition Infosec, a déclaré qu'il craignait que le piratage ait pu affecter des applications tierces.

Williams a noté que la fonction "Facebook Login" de la société permet aux utilisateurs de se connecter à d'autres applications et sites Web avec leurs informations d'identification Facebook. "Ces jetons d'accès qui ont été volés montrent quand un utilisateur est connecté à Facebook et cela peut suffire pour accéder au compte d'un utilisateur sur un site tiers, " il a dit.

Facebook a confirmé vendredi soir que les applications tierces, y compris sa propre application Instagram, aurait pu être touché.

"La vulnérabilité était sur Facebook, mais ces jetons d'accès permettaient à quelqu'un d'utiliser le compte comme s'il en était lui-même le titulaire, " dit Rosen.

La nouvelle a éclaté au début de cette année qu'une société d'analyse de données autrefois employée par la campagne Trump, Cambridge Analytica, avait indûment accédé aux données personnelles de millions de profils d'utilisateurs. Ensuite, une enquête du Congrès a révélé que des agents de Russie et d'autres pays publiaient de fausses publicités politiques depuis au moins 2016. En avril, Zuckerberg a comparu lors d'une audience du Congrès axée sur les pratiques de confidentialité de Facebook.

Le bogue de Facebook rappelle une attaque beaucoup plus importante contre Yahoo dans laquelle les attaquants ont compromis 3 milliards de comptes, assez pour la moitié de la population mondiale. Dans le cas de Yahoo, les informations volées comprenaient les noms, adresses mail, les numéros de téléphone, dates de naissance et questions et réponses de sécurité. Il faisait partie d'une série de hacks Yahoo sur plusieurs années.

Les procureurs américains ont ensuite reproché aux agents russes d'avoir utilisé les informations qu'ils avaient volées à Yahoo pour espionner les journalistes russes, Les représentants des gouvernements américain et russe et les employés des services financiers et d'autres entreprises privées.

Dans le cas de Facebook, il est peut-être trop tôt pour savoir à quel point les attaquants étaient sophistiqués et s'ils étaient liés à un État-nation, dit Thomas Rid, professeur à l'Université Johns Hopkins. Rid a déclaré qu'il pourrait également s'agir de spammeurs ou de criminels.

" Rien de ce que nous avons vu ici n'est si sophistiqué qu'il nécessite un acteur étatique, " a déclaré Rid. " Cinquante millions de comptes Facebook aléatoires ne sont intéressants pour aucune agence de renseignement. "

© 2018 La Presse Associée. Tous les droits sont réservés.