Faille corrigée chez Facebook, contrôle de comptes possible

Facebook a révélé vendredi 28 septembre 2018 une faille de sécurité affectant « presque 50 millions de comptes ». Contrôle de comptes possible par les pirates.

La découverte d’un bug informatique dans Facebook a permis à des pirates de prendre le contrôles de comptes d’utilisateurs. Les équipes du réseau social ont « découvert un problème de sécurité affectant près de 50 millions de comptes. Nous prenons cela extrêmement au sérieux« , a écrit le groupe dans un communiqué de presse, ajoutant « prendre des actions immédiates« . Les pirates ont mis la main sur une faille dans le code du géant américain. Une enquête est toujours en cours. L’entreprise recherche à savoir si les comptes infiltrés ont été utilisés à des fins malveillantes. Une attaque intéressante car cette dernière permet de passer outre la double authentification. Bilan, vous pensiez être protégé par cette double clé (votre mot de passe et le second code) et… non !

Fuite et malveillances ?

Les intrus ont eu accès à des données personnelles et sensibles via l’outil « aperçu du profil en tant que« . Une application qui permet de voir ce que vous laissez apercevoir aux internautes qui ne sont pas vos amis. L’AFP précise que Facebook perdu plus de 3% en milieu de séance à Wall Street. La faille révélée par Facebook a été découverte mardi dernier et bouchée ce vendredi.

Vous comprenez mieux aussi pourquoi Facebook vient de faire une mise à jour d’urgence (ce vendredi matin) de ses applications smartphones, consoles de jeu, … En France, d’ailleurs, l’application a rejeté l’ensemble des utilisateurs. Obligé de fournir de nouveau son mot de passe. Une mise à jour qui oblige à passer à une version « anglaise » de FB.  Il aurait été possible, via cette faille, de se connecter à des sites tiers via l’authentification Facebook.

Inquiétude chez Facebook ?

La page de Mark Zuckerberg effacée, dimanche ? C’est ce qu’affirme Chang Chi-yuan, un internaute, depuis le 23 septembre. L’homme, un Taiwanais annonce être capable de prendre la main sur n’importe quel compte Facebook. Comme celui du boss de Facebook. Il promettait de diffuser la possibilité via un Facebook Live, ce dimanche 30 septembre. Un rapport avec l’annonce de FB ? Impossible de le savoir pour le moment.

Vendredi 28 septembre, l’homme a changé d’avis en expliquant qu’il préférait aider. « J’annule mon direct. J’ai signalé le bug à Facebook. Je montrerai la preuve quand je recevrai la prime de Facebook« . Chang Chi-yuan, le hacker, avait promis de supprimer le compte du fondateur de Facebook et de diffuser le truc via Facebook Live.

En 2011 déjà, un pirate avait réussi à modifier la page de Zuckerberg en demandant que Facebook soit plus « sociale ».

Mise à jour 29/09/2018 – 6h30 : Facebook vient de communiquer officiellement sur le sujet. « Par souci de sécurité, nous vous avons peut-être récemment déconnecté(e) de votre compte Facebook. Le 25 septembre 2018, nous avons détecté une attaque contre notre système au cours de laquelle des malfaiteurs ont volé des tokens d’accès Facebook. Les tokens d’accès sont l’équivalent de clés numériques que ces malfaiteurs ont pu ensuite utiliser pour pirater les comptes d’autres personnes. En déconnectant les utilisateurs, nous empêchons les malfaiteurs d’avoir accès à leurs comptes au moyen de ces tokens. Nous ne savons pas encore si ces derniers ont pu accéder aux informations d’utilisateurs Facebook, mais nous voulions vous informer des mesures prises pour protéger votre compte. Nous continuons notre enquête et nous avons contacté les forces de l’ordre. Si nous découvrons que d’autres personnes ont été affectées, nous les déconnecterons immédiatement et les informerons de la situation.« 

Action, réaction

Si vous avez été déconnecté(e), vous devrez vous reconnecter à votre compte pour continuer à utiliser Facebook ou d’autres apps auxquelles vous êtes connecté(e) via votre compte Facebook. Aucun besoin de changer vos mots de passe, mais si vous rencontrez des difficultés pour vous reconnecter, découvrez quoi faire ici.

Mark communique !!?

Mark Zuckerberg a communiqué ! Si, si ! « Je souhaite vous informer d’un problème de sécurité important que nous avons identifié. Nous avons corrigé le problème hier soir et prenons des mesures de précaution pour ceux qui pourraient avoir été touchés. Nous enquêtons toujours. »

1. Nous avons corrigé la vulnérabilité de sécurité pour empêcher cet attaquant ou toute autre personne de voler des jetons d’accès supplémentaires. Et nous avons invalidé les jetons d’accès pour les comptes des 50 millions de personnes touchées, ce qui a entraîné leur déconnexion. Ces personnes devront se reconnecter pour accéder à leurs comptes à nouveau. Nous informerons également ces personnes dans un message en haut de leur fil d’actualité sur ce qui s’est passé lorsqu’elles se reconnectent.

2. Par mesure de précaution, même si nous pensons avoir résolu le problème, nous supprimons temporairement la fonctionnalité présentant la faille de sécurité jusqu’à ce que nous puissions l’examiner en détail et nous assurer qu’il n’y a pas d’autres problèmes de sécurité. La fonctionnalité s’appelle « View As » et c’est un outil de confidentialité qui vous permet de voir comment votre propre profil pourrait ressembler à d’autres personnes.

3. Par mesure de précaution supplémentaire, nous déconnectons également tous ceux qui ont utilisé la fonctionnalité Afficher en tant que depuis l’introduction de la vulnérabilité. Cela nécessitera 40 millions de personnes ou plus pour se reconnecter à leurs comptes.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. Fun

    C’est intéressant et heureusement que la faille s’est résolue, d’ou la nécessite de protéger d’avantage des données personnelles et sensible.

  2. jeuneinformaticien

    C’est bien beau l’informatique et la technologie mais la sécurité ne suis pas il y a des failles de partout aucunes données est protégé malheureusement ! Toujours aussi bien ton site 🙂 .