Facebook a déclaré vendredi que des pirates avaient accédé aux données personnelles de 29 millions d'utilisateurs lors d'une brèche dans le premier réseau social au monde divulguée à la fin du mois dernier.

La société avait initialement déclaré que jusqu'à 50 millions de comptes avaient été touchés lors d'une cyberattaque qui exploitait un trio de failles logicielles pour voler des « jetons d'accès » qui permettent aux utilisateurs de se reconnecter automatiquement à la plate-forme.

« Nous savons maintenant que moins de personnes ont été touchées que nous ne le pensions au départ, ", a déclaré le vice-président de la gestion des produits de Facebook, Guy Rosen, lors d'une conférence téléphonique mettant à jour l'enquête.

Les pirates, dont l'identité reste un mystère, ont accédé aux noms, numéros de téléphone et adresses e-mail de 15 millions d'utilisateurs, il a dit.

Pour 14 millions de personnes supplémentaires, l'attaque était potentiellement plus dommageable.

Facebook a déclaré que les cyberattaquants avaient accédé à ces données ainsi qu'à des informations supplémentaires, notamment le sexe, religion, ville natale, la date de naissance et les lieux où ils s'étaient récemment « enregistrés » en tant que visite.

Aucune donnée n'a été consultée dans les comptes du million de personnes restantes dont les « jetons d'accès » ont été volés, selon Rosen.

L'attaque n'a pas affecté Messenger appartenant à Facebook, Messager Enfants, Instagram, WhatsApp, Oculus, Lieu de travail, Pages, Paiements, des applications tierces ou des comptes publicitaires ou de développeurs, dit la compagnie.

'Vulnérabilité' dans le code

Facebook a déclaré que les ingénieurs avaient découvert une faille le 25 septembre et l'avaient corrigée deux jours plus tard.

Cette violation serait liée à une fonctionnalité « afficher en tant que », décrite comme un outil de confidentialité permettant aux utilisateurs de voir à quoi ressemble leur profil pour les autres. Cette fonction a été désactivée pour le moment par mesure de précaution.

Facebook a réinitialisé les 50 millions de comptes qui auraient été touchés, ce qui signifie que les utilisateurs devront se reconnecter à l'aide de mots de passe.

La violation était le dernier embarras de confidentialité pour Facebook, qui plus tôt cette année a reconnu que des dizaines de millions d'utilisateurs ont vu leurs données personnelles détournées par Cambridge Analytica, un cabinet politique travaillant pour Donald Trump en 2016.

« Nous faisons face à des attaques constantes de la part de personnes qui souhaitent prendre le contrôle de comptes ou voler des informations dans le monde entier, ", a déclaré le directeur général Mark Zuckerberg sur sa propre page Facebook lorsque la violation a été révélée.

"Bien que je sois heureux que nous ayons trouvé cela, correction de la vulnérabilité, et sécurisé les comptes qui peuvent être à risque, la réalité est que nous devons continuer à développer de nouveaux outils pour éviter que cela ne se produise en premier lieu. »

Facebook a déclaré avoir pris une mesure de précaution en réinitialisant les "jetons d'accès" pour 40 millions de comptes supplémentaires qui avaient accédé à la fonction "afficher en tant que".

Comptes « semences »

Les pirates ont manifestement commencé la cyber-attaque le 14 septembre avec 400, 000 « comptes d'amorçage » auxquels ils ont participé ou dont ils étaient proches, selon Rosen.

"Les attaquants ont commencé avec un ensemble de comptes qu'ils contrôlaient directement, puis déménagé chez leurs amis, et les amis de leur ami, et ainsi de suite—à chaque fois en profitant de la vulnérabilité, " il ajouta.

L'exploit a permis aux pirates de voler des copies de jetons d'accès des comptes d'"amis" en utilisant la fonction "afficher en tant que".

Une fois qu'ils avaient les clés des comptes, les pirates avaient la possibilité de s'y introduire et de les contrôler comme s'ils en étaient le véritable propriétaire.

Les pirates auraient pu voir les quatre derniers chiffres des données de carte de crédit dans les comptes des personnes, avec le reste caché pour la sécurité, mais il n'y avait aucun signe que des données aient été prises, selon Facebook.

Rosen a déclaré qu'ils n'avaient encore trouvé aucune raison de croire que les pirates s'intéressaient aux informations des gens, il semblait plutôt que la mission était de récolter des jetons d'accès auprès d'amis associés à des comptes violés.

Il a refusé de discuter des progrès réalisés pour déterminer qui était derrière l'attaque, disant que Facebook avait été invité par le FBI à rester silencieux sur le sujet.

Le réseau social californien affirme coopérer avec le FBI, Commission fédérale du commerce des États-Unis, Commission irlandaise de protection des données et autres autorités concernant la violation.

Rosen a déclaré que l'enquête du FBI avait également limité ce qu'il pouvait révéler sur l'objectif final des pirates, mais a maintenu que Facebook n'avait "aucune raison de croire que cette attaque était liée aux élections de mi-mandat" aux États-Unis.

© 2018 AFP