Actu

Après son piratage massif, Facebook assure que les pirates n’ont pas accédé aux applications tierces

03 octobre 2018
Par Thomas Estimbre
Après son piratage massif, Facebook assure que les pirates n'ont pas accédé aux applications tierces

Facebook tente de rassurer l’opinion après avoir reconnu le piratage de 50 millions de comptes. Le réseau social indique qu’il n’y a aucune preuve que les piratages ont accédé à des applications externes.

Le réseau social Facebook est englué dans de nombreux scandales ces derniers mois et doit faire face à une nouvelle crise majeure depuis quelques jours. La semaine dernière, Facebook a annoncé que la sécurité d’au moins 50 millions de comptes avait été compromise par des pirates. Une attaque sans précédent qui ne fait pas les affaires de Mark Zuckerberg. Au total, 90 millions de membres ont été déconnectés par mesure de sécurité et si Facebook a dit avoir corrigé la vulnérabilité, il n’a pas exclu la possibilité de trouver « plus de comptes affectés ».

 © Facebook
© Facebook

Très vite, le risque de voir les pirates utiliser les jetons d’accès dérobés pour accéder à des applications tierces a été évoqué. En effet, ces jetons d’accès – équivalents à des clés numériques – permettent de rester connectés à Facebook sans avoir à saisir à nouveau son mot de passe à chaque fois, mais aussi d’accéder plus facilement à des services tiers. Avec Facebook Login, le géant américain propose à ses membres de se connecter plus rapidement à d’autres services ou applications externes en utilisant les données de leur compte. Un outil « pratique » notamment sur mobile, mais pas sans danger dans le cadre de cette affaire. Les attaquants pouvaient potentiellement prendre le contrôle des comptes tiers et ainsi accéder à de nombreuses informations personnelles.

Décidé à jouer la carte de la transparence, le roi des réseaux sociaux se veut rassurant. « Nous avons maintenant analysé nos logs [journaux d’événements] pour toutes les applications tierces installées ou connectées pendant l’attaque que nous avons découverte la semaine dernière. Cette enquête n’a jusqu’à présent trouvé aucune preuve que les attaquants ont accédé à des applications en utilisant Facebook Login », explique Guy Rosen, vice-président produits de l’entreprise. Vendredi, ce dernier avait évoqué risque de voir les pirates accéder à des sites web et des applications tierces liées au compte Facebook.

Facebook annonce le pire pour se préserver du RGPD

Pour un certain nombre d’experts en sécurité – y compris un ancien dirigeant de Facebook – l’entreprise a peut-être annoncé un scénario catastrophe et pessimiste lorsqu’elle a révélé l’attaque de vendredi pour s’assurer du respect des nouvelles règles strictes de l’Union européenne en matière de vie privée qui sont entrées en vigueur fin mai, note Reuters. En effet, le RGPD inclut un droit d’information en cas de piratage des données. Les entreprises sont tenues d’avertir publiquement « en des termes clairs et simples » les utilisateurs en cas de « violation de données personnelles », lors d’un piratage par exemple. De plus, cette déclaration doit se faire dans un délai de 72 heures comme le stipule l’Article 33. Une mesure qui permet notamment d’éviter des cas comme LinkedIn ou Yahoo qui ont avoué le piratage de millions de comptes (milliards dans le cas de Yahoo) plusieurs années après les faits. Alex Stamos, ancien responsable de la sécurité chez Facebook, n’a pas manqué de noter sur Twitter « l’impact intéressant du délai de 72 heures du RGPD ».

Enfin, le fait d’avoir déconnecté les 90 millions d’utilisateurs potentiellement touchés par ce piratage devrait écarter tout risque. La firme explique que « les développeurs utilisant nos SDK officiels Facebook – et tous ceux qui ont régulièrement vérifié la validité des clés d’accès de leurs utilisateurs – étaient automatiquement protégés lorsque nous avons réinitialisé les clés d’accès des utilisateurs ». Pour les développeurs tiers qui n’utilisent pas les kits de développement logiciel (SDK) officiels de Facebook, le réseau social va mettre à disposition un outil permettant d’identifier manuellement les utilisateurs qui pourraient avoir été affectés, afin qu’ils puissent les déconnecter.

Article rédigé par
Thomas Estimbre
Thomas Estimbre
Journaliste