Facebook a déconnecté de force 90 millions de comptes pour circonscrire cette attaque informatique, une des plus importantes dont il ait jamais été la cible.
Facebook a annoncé vendredi 28 septembre avoir été victime d’une attaque informatique. Des pirates, tirant parti d’une faille dans le code du réseau social, ont eu accès à des éléments susceptibles de leur ouvrir les portes d’un peu moins de 50 millions de comptes Facebook.
Lors d’une conférence de presse tenue vendredi en présence de son PDG, Mark Zuckerberg, l’entreprise a expliqué ne pas savoir si ces pirates avaient effectivement pris le contrôle de tout ou partie des comptes concernés ou extrait des informations de ces comptes. L’enquête interne, en collaboration avec le FBI, vient tout juste de débuter, et l’entreprise n’exclut pas à ce stade cette inquiétante hypothèse. L’entreprise a également dit ne pas savoir qui se trouvait derrière cette attaque, d’une ampleur inédite dans l’histoire de Facebook.
Déconnexions « par précaution »
Alerté par une activité inhabituelle sur son réseau, Facebook a identifié la faille mardi après-midi, avant de la corriger dans la nuit du 27 au vendredi 28 septembre. Pour circonscrire totalement l’incident, l’entreprise a décidé de déconnecter de force la cinquantaine de millions de comptes affectés ainsi que 40 millions de comptes supplémentaires, « par précaution ». De nombreux utilisateurs dans le monde – dont des Français, comme a pu le constater Le Monde – ont rapporté avoir été déconnectés de leur compte vendredi.
Il est inutile pour ces utilisateurs de changer leur mot de passe Facebook. Interrogé par Le Monde, le vice-président de Facebook chargé des questions de sécurité, Guy Rosen, a assuré que l’opération de déconnexion forcée était suffisante. Par mesure de précaution supplémentaire, il est toutefois possible de se déconnecter manuellement de Facebook de tous ses appareils depuis les paramètres, avant de se reconnecter. Les internautes concernés verront par ailleurs très prochainement un message d’information s’afficher sur la page d’accueil de Facebook.
Guy Rosen a précisé que l’agence irlandaise de protection des données personnelles avait d’ores et déjà reçu une notification, ce qui indique que des citoyens européens sont concernés par la faille. La législation européenne a rendu obligatoire cette notification lorsque des données de citoyens européens sont concernées par une fuite ou une attaque.
Trois bugs combinés
La faille utilisée par les pirates se nichait dans le code informatique de la fonctionnalité « Aperçu de mon profil », destinée à vérifier ses paramètres de confidentialité. Elle permet de voir la manière dont son compte apparaît lorsqu’il est visité par un tiers.
En combinant trois défauts dans le code, les pirates ont eu accès à un peu moins de 50 millions de « tokens » (« jetons »). Il s’agit de l’équivalent d’une clé stockée dans l’appareil connecté à Facebook (application d’un téléphone ou navigateur internet sur un ordinateur) et qui évite à l’utilisateur de saisir son mot de passe à chaque fois qu’il revient sur le réseau social. En mettant la main sur cet élément, il est aussi possible de prendre le contrôle d’un compte et d’accéder à des sites Internet ou des applications qui utilisent Facebook comme moyen de s’identifier : par exemple, les comptes des applications Instagram ou d’Oculus, selon les explications données par Facebook. En réaction, la fonctionnalité « Aperçu de mon profil » a été désactivée vendredi.
Une grande première pour Facebook
C’est la première fois que Facebook révèle une attaque informatique d’une telle ampleur. « Nous continuons à améliorer nos défenses. Nous faisons l’objet d’attaques constantes de la part de gens qui tentent de pirater des comptes ou de récupérer des informations personnelles » a déclaré Mark Zuckerberg.
Le scénario est cette fois-ci complètement différent de l’aspiration des données Faceboook dans le cadre de l’affaire Cambridge Analytica. Les données avaient alors été obtenues de manière totalement légale : à l’époque Facebook autorisait les applications tierces à accéder à de nombreuses informations personnelles. Le piratage dévoilé aujourd’hui tire, lui, parti d’un « bug » inscrit directement dans le code informatique de Facebook.
Cette affaire tombe en tout cas au plus mal pour Facebook, affaibli ces dernières années par des polémiques à répétition concernant la sécurité de ses systèmes et des données de ses utilisateurs.
- En 2016, il a été totalement pris de court par les opérations de propagande menées par le pouvoir russe, qui a diffusé sans difficulté sa propagande destinée à polluer le climat politique américain. Sa capacité à résister aux éventuelles opérations d’ingérence lors de la campagne des élections de mi-mandat est observée de très près outre-Atlantique.
- En mars, l’affaire Cambridge Analytica a mis sous le feu des projecteurs la question de la protection des données, attirant les foudres des autorités américaines et européennes.
Le monde