1. Type de violation : La violation impliquait un accès non autorisé aux comptes d'utilisateurs, permettant aux attaquants d'accéder potentiellement à des informations privées, y compris des détails de profil et des publications, ainsi que des groupes et événements privés dont les utilisateurs concernés étaient membres.
2. Cause de la violation : Le problème de sécurité provenait d'une vulnérabilité dans le code de Facebook qui permettait aux attaquants d'exploiter la fonctionnalité « Afficher en tant que », conçue pour permettre aux utilisateurs de prévisualiser la façon dont leur profil apparaît aux autres. En abusant de cette fonctionnalité, les attaquants pourraient obtenir des jetons d'accès, les clés numériques utilisées pour vérifier l'identité des utilisateurs, à l'insu de ces derniers.
3. Nombre d'utilisateurs concernés : Facebook avait initialement estimé le nombre de comptes concernés à environ 50 millions. Cependant, des enquêtes ultérieures ont révélé que l'ampleur de l'incident était plus large, avec environ 90 millions de comptes d'utilisateurs potentiellement concernés.
4. Données compromises : Bien qu'un accès non autorisé aux comptes d'utilisateurs ait eu lieu, Facebook a précisé qu'aucune donnée sensible, telle que les mots de passe, les informations de carte de crédit ou les numéros de sécurité sociale, n'a été compromise lors de cet incident spécifique.
5. Réponse initiale : Après avoir découvert la violation, Facebook a lancé une enquête et pris des mesures pour atténuer le problème. Les comptes concernés ont été sécurisés et les utilisateurs ont été déconnectés de leurs comptes par mesure de précaution.
6. Notification aux utilisateurs : Facebook a informé les utilisateurs concernés via des messages à l'écran et des alertes par courrier électronique, les informant de la violation et leur conseillant de prendre les précautions de sécurité nécessaires.
7. Impact sur les utilisateurs : En plus d'exposer potentiellement des informations privées, la violation peut avoir des implications sur la vie privée des utilisateurs, car les attaquants pourraient utiliser les données obtenues à des fins de phishing, de campagnes de spam personnalisées ou à d'autres fins malveillantes.
8. Contrôle externe : L'incident a fait l'objet d'un examen minutieux de la part des législateurs, des défenseurs de la vie privée et des utilisateurs, soulevant des questions sur la capacité de Facebook à protéger les données des utilisateurs et à remédier aux vulnérabilités de ses systèmes.
9. Enquêtes réglementaires : L'incident a attiré l'attention des régulateurs du monde entier, conduisant à des enquêtes sur le traitement des données des utilisateurs par Facebook et sur la violation éventuelle des réglementations en matière de protection des données.
10. Modifications des mesures de sécurité : À la suite de la violation, Facebook a mis en œuvre des mesures de sécurité supplémentaires, notamment un nouvel outil appelé « Alertes de connexion » pour informer les utilisateurs des tentatives de connexion suspectes, des autorisations plus strictes pour les applications tierces et des processus améliorés de récupération de compte.
11. Règlement juridique : En juillet 2019, Facebook a conclu un accord de 5 milliards de dollars avec la Federal Trade Commission (FTC) pour des raisons de confidentialité, notamment des allégations selon lesquelles l'entreprise n'aurait pas protégé adéquatement les données des utilisateurs à la lumière de la faille de sécurité de 2018.
12. Efforts de sécurité en cours : Facebook continue d'investir dans l'amélioration de la sécurité, en mettant en œuvre diverses initiatives pour détecter et empêcher les accès non autorisés, renforcer l'authentification des utilisateurs et répondre rapidement aux incidents de sécurité.
Il est important de noter que Facebook a apporté des changements importants à ses pratiques de sécurité depuis l'incident de 2018. Ces changements ont contribué à améliorer la sécurité des données des utilisateurs et Facebook continue de travailler pour protéger la confidentialité des utilisateurs.