Un autre revers en matière de cybersécurité pour Facebook. Une équipe d’ingénieurs du site de réseautage Facebook a découvert une brèche de sécurité permettant l’accès frauduleux à près de 50 millions de comptes utilisateurs. Dans un communiqué de presse émis par Guy Rosen, vice-président à la gestion des produits, Facebook rapporte que la brèche aurait été détectée dans la journée du 25 septembre 2018.
« We also don’t know who’s behind these attacks or where they’re based. We’re working hard to better understand these details. » Guy Rosen, V.-P. Gestion de Produits, Facebook
Selon M. Rosen, la multinationale n’a que peu de détails quant aux initiateurs de l’attaque. Elle rapporte avoir ordonné une enquête interne dès le 16 septembre après avoir constaté une hausse inhabituelle d’accès au site. Le géant de l’internet ne peut toutefois pas confirmer s’il y a eu des fuites d’informations personnelles dues au bogue.
Une mise à jour bâclée
L’origine de celui-ci serait multifactorielle et très complexe. Il s’agirait en fait d’une interaction logicielle entre les fonctionnalités « Voir en tant que », qui permettait de voir son profil du point de vue d’un autre utilisateur, et de téléversement de fichiers vidéo. La vulnérabilité trouverait son origine dans une mise à jour défectueuse de l’interface de téléversement daté du mois de juillet 2017.
Cette interface permettait de téléverser des vidéos sur le mur d’un tiers parti à l’aide de la fonctionnalité « Voir en tant que » et ainsi générer un code d’authentification pour l’utilisateur visé. Ce jeton contenant les informations de compte cryptées permettrait ensuite d’accéder au compte de l’utilisateur visé. Lorsqu’implantées dans la page, ces données ne requièrent plus le mot de passe ou le nom d’utilisateur pour se connecter.
Les fonctionnalités fautives ont depuis toutes été désactivées et les utilisateurs déconnectés et notifiés par mesure préventive.
Mauvaise passe pour Facebook
Cette brèche de sécurité survient à un moment assez difficile pour Facebook. La compagnie tente en effet tant bien que mal de se remettre des scandales de Cambridge Analytica et des élections présidentielles de 2016. Elle intervient aussi quelques mois après l’entrée en vigueur du Règlement Général de la Protection des Données (RGPD) européen. Ce dernier prévoit des pénalités sévères pour les compagnies ne rapportant pas les brèches de sécurité à l’intérieur de 72 heures ou si les autorités jugent qu’il y aurait eu négligence. Facebook aurait rapporté l’incident à la Commission de Protection des Données Irlandaise, où elle possède des bureaux, dans les délais prescrits.
Source : Facebook News Room