Facebook a indiqué que les pirates avaient eu accès aux comptes de 30 millions d’utilisateurs. C’est moins qu’initialement annoncé, mais ils ont pu récupérer les données personnelles de 29 millions de comptes.
Après avoir annoncé début octobre la découverte d’une faille de sécurité affectant près de 50 millions de comptes, Facebook constate les dégâts et joue la transparence. Le réseau social avait comblé la faille dès sa découverte, mais celle-ci était présente depuis juillet 2017 via la fonctionnalité « Voir en tant que ». Cette dernière est actuellement désactivée, le temps pour Facebook de mener son enquête et de faire le point.
Ce week-end, le réseau social a confirmé que les pirates avaient eu accès aux comptes d’une trentaine de millions d’utilisateurs et qu’ils avaient dérobé des données de 29 millions d’entre eux. Comme le rappel l’agence Reuters, Facebook avait jusqu’à présent indiqué que les hackers avaient dérobé les codes d’accès, leur permettant potentiellement de s’introduire dans près de 50 millions de comptes d’utilisateurs. Un scénario catastrophe pour la firme puisqu’il s’agissait alors de la pire cyberattaque de son histoire. Nous avions évoqué la posture du réseau social qui a cherché à se préserver du RGPD en annonçant le pire.
À première vue, on pourrait penser que l’affaire est moins grave que prévu, mais Facebook n’avait pas dit si des informations avaient été effectivement volées. On apprend désormais qu’environ 30 millions de comptes sont touchés, soit 40 % de moins qu’envisagé par Facebook, mais qu’il y a des victimes et que des données ont été récupérées par les auteurs de l’attaque. Sur son site, Facebook explique avoir « travaillé 24 heures sur 24 pour enquêter sur le problème de sécurité (…) découvert et résolu il y a deux semaines » et peut donner plus de détails. Pour 15 millions d’utilisateurs, les pirates ont accédé à deux séries d’informations: les noms et les coordonnées (numéro de téléphone, adresses de courriel, ou les deux).
Concernant les 14 autres millions de personnes, les hackers ont accédé à beaucoup plus d’informations. Le réseau social évoque « le nom d’utilisateur, le genre, la langue, le statut marital, la religion, la ville d’origine et actuelle, la date de naissance, les types de terminaux utilisés pour accéder à Facebook, les études, la profession, les dix derniers endroits qu’ils ont visités ou sur lesquels on les a marqués, le site web, les pages qu’il suit et les quinze recherches les plus récentes ». Enfin, pour 1 million de personnes, les auteurs de l’attaque n’auraient récupéré aucune donnée, précise Facebook.
Comment les pirates ont-ils procédé ?
Pour toucher autant de comptes, le réseau social indique que les pirates contrôlaient déjà un ensemble de comptes, qui étaient connectés à des amis Facebook. Ils ont alors utilisé une technique automatisée pour passer d’un compte à l’autre afin de pouvoir voler les jetons d’accès de 400 000 membres (les amis, ceux des amis des amis et ainsi de suite). Le fil d’actualité, la liste d’amis, les groupes dont ils sont membres et le nom des conversations Messenger récentes ont ainsi pu être vus par les pirates. En revanche, Facebook assure qu’ils n’ont pas pu accéder aux contenus des conversations, à une exception près. « Si un individu de ce groupe [le groupe de 400 000 membres qui a servi de base aux pirates] était administrateur d’une Page et que cette Page avait reçu un message d’un utilisateur de Facebook, alors les pirates ont pu accéder au contenu du message », explique le réseau social.
Ces 400 000 premières victimes ont ensuite permis d’accéder aux données d’environ 30 millions de comptes. À noter que cette attaque ne concernait pas « Messenger, Messenger Kids, Instagram, WhatsApp, Oculus, Workplace, les pages, les paiements, les applications tierces ou les comptes publicitaires ou de développement ».
Comment savoir si mon compte est concerné ?
Il est possible de savoir si votre compte a été visé par l’attaque en cliquant ici. Si vous aviez déjà été déconnecté fin septembre lors de l’annonce du piratage massif, votre compte peut être concerné. Dans les prochains jours, Facebook va également envoyer un message aux 30 millions de personnes touchées pour leur expliquer les informations auxquelles les pirates pourraient avoir accédé, ainsi que les mesures qu’ils peuvent prendre pour se protéger, notamment contre les e-mails, SMS ou appels suspects.