La faille de sécurité révélée le 28 septembre par Facebook a touché des dizaines de millions de comptes sur le réseau social, qui compte plus de 2,2 milliards d'utilisateurs mensuels.

Mercredi, l'autorité irlandaise des données a déclaré qu'elle ouvrait une enquête formelle pour savoir si le plus grand réseau social au monde était conforme aux nouvelles réglementations strictes de l'UE en matière de confidentialité.

- Qu'est-il arrivé?

Les pirates ont profité d'une "interaction complexe" entre trois bogues logiciels, qui exigeait un certain degré de sophistication.

La vulnérabilité a été créée par une modification apportée à une fonctionnalité de téléchargement de vidéo en juillet 2017.

Il s'agissait d'une faille dans une fonctionnalité « Voir comme » qui montrait à Facebook à quoi ressemblaient leurs profils pour les autres personnes du réseau social.

À l'aide des clés numériques générées par la fonctionnalité, appelés « jetons d'accès, " qui permettent aux utilisateurs de rester connectés à leurs comptes sans avoir à ressaisir les mots de passe.

Les pirates ont pu voler des copies des clés numériques, en leur donnant le même accès et le même contrôle des comptes que leurs propriétaires légitimes.

Le 16 septembre, Facebook a remarqué un pic d'activité qui l'a incité à enquêter.

Le 25 septembre, Les ingénieurs de Facebook ont ​​déterminé que les pirates avaient lancé une attaque sophistiquée exploitant la vulnérabilité. Un correctif était en place deux jours plus tard et les jetons volés rendus inutiles.

Facebook n'a pas révélé quand les pirates ont profité pour la première fois de la faille, disant que l'enquête était précoce.

- Quelles données ont été divulguées ?

Les pirates informatiques semblaient intéressés par les noms inclus, genres, et villes natales, mais on ne savait pas à quelles fins, ont déclaré les dirigeants lors d'un briefing téléphonique.

Facebook a dit qu'il essayait toujours de comprendre quoi, si quoi que ce soit, les pirates ont fait dans les comptes violés. Il ne semblait pas au départ que les messages ou les messages aient été falsifiés, et il n'y avait pas d'accès aux informations bancaires ou de mot de passe, selon le réseau social.

Étant donné que les clés numériques ont ouvert grand les portes de Facebook aux pirates, ils auraient eu la possibilité d'accéder à des applications tierces liées à des comptes de réseaux sociaux.

Ils auraient pu accéder à des comptes liés dont Messenger ou Instagram, tous deux appartenant à Facebook, mais pas dans le service WhatsApp du réseau social.

Une analyse des journaux d'applications tierces n'a révélé aucun signe qu'elles aient été manipulées par les pirates, Facebook a déclaré le 2 octobre.

- Qui doit s'inquiéter ?

Facebook a déclaré que "jusqu'à 50 millions de comptes" étaient directement touchés, ce qui signifie que les pirates ont glissé des clés numériques.

Selon la Commission de protection des données en Irlande, cinq millions ou moins d'utilisateurs européens figuraient parmi les personnes concernées.

Les jetons ont été réinitialisés pour 40 millions de comptes supplémentaires qui utilisaient la fonction « Afficher en tant que », bien qu'il ne semble pas qu'ils aient été ciblés par des pirates.

- Des mesures prises par Facebook ?

Facebook a déclaré avoir scellé la brèche tard le 27 septembre en Californie, où il a son siège, et alerté les autorités américaines chargées de l'application de la loi ainsi que les régulateurs irlandais.

Facebook a invalidé les « tokens d'accès » en cause dans la brèche, obligeant les gens à se reconnecter avec des mots de passe. Le réseau social a informé les personnes impliquées en publiant des messages au sommet des fils d'actualité.

- Quel est le risque pour Facebook ?

Les risques pour Facebook dépendent de la façon dont il s'est conformé aux diverses lois et réglementations, y compris le nouveau règlement général sur la protection des données en Europe.

Les questions susceptibles d'être posées incluront si Facebook a été assez rapide pour informer les utilisateurs de la violation et dans quelle mesure il a protégé les comptes.

La protection des données des personnes relève de la compétence de la Federal Trade Commission aux États-Unis, mais les États pourraient également être intéressés à s'assurer que les lois locales sur la confidentialité ou la protection des données ne sont pas violées.

En Europe, la violation de Facebook et la façon dont elle a été gérée seraient examinées à travers le prisme du RGPD, qui a renforcé la protection des données personnelles.

Les entreprises peuvent désormais se voir infliger une amende d'un pourcentage de leur chiffre d'affaires annuel si elles enfreignent les règles du RGPD. Facebook semble avoir respecté un délai de 72 heures concernant la divulgation publique d'un piratage, ce qui pourrait lui épargner une amende de plus d'un milliard de dollars.

© 2018 AFP