Facebook continue d'informer sur la faille de sécurité dont il a été la victime et son exploitation dans une attaque la semaine dernière. Elle a pu permettre la prise de contrôle de 50 millions de comptes après le vol de jetons d'accès (tokens) Facebook qui ont été réinitialisés depuis.

Facebook-fact-checking La question se posait de l'impact de l'attaque pour les applications utilisant Facebook Login. Avec les tokens en poche et du temps de leur validité, les attaquants ont potentiellement pu prendre le contrôle de comptes hors Facebook s'appuyant sur son système de connexion. Facebook Login est une solution de connexion très prisée pour des applications diverses et variées.

" Nous avons désormais analysé nos logs pour toutes les applications tierces installées ou connectées pendant l'attaque que nous avons découverte la semaine dernière. Cette enquête n'a jusqu'à présent trouvé aucune preuve que les attaquants ont eu accès à des applications utilisant Facebook Login ", écrit Facebook.

Dans la mesure où les tokens concernés ont été réinitialisés, il n'y a théoriquement plus de danger. Pour autant, Facebook précise qu'un outil sera mis à la disposition des développeurs pour leur permettre d'identifier " manuellement " les utilisateurs de leurs applications qui ont pu être affectés afin de les déconnecter.