Faille Facebook : moins de 5 millions de comptes européens affectés

Le par  |  14 commentaire(s)
Facebook-Bug-Bounty

Le nombre de comptes européens sur Facebook touchés par l'incident de sécurité de la semaine dernière est évalué à moins de 10% des 50 millions de comptes concernés.

En fin de semaine dernière, Facebook a révélé avoir été la victime d'une faille de sécurité. Elle a été exploitée dans le cadre d'une attaque qui a touché 50 millions de comptes sur Facebook et dont les protagonistes ont pu prendre le contrôle pendant près de deux jours.

Selon la Data Protection Commission, l'autorité de protection des données irlandaise qui est en contact avec Facebook afin de rendre compte de cet incident de sécurité pour l'Europe, le nombre de comptes européens potentiellement affectés est de moins 10 % sur les 50 millions de comptes concernés en tout.

Parmi ces moins de 5 millions de comptes européens, on sait déjà qu'il y a des comptes français. Une répartition précise n'a toutefois pas encore été communiquée.

Rappelons que dans cette affaire, ce sont des jetons d'accès (tokens) Facebook qui ont été dérobés, pas des identifiants. Ils permettent de garder des utilisateurs connectés pour leur éviter de devoir ressaisir leur mot de passe pour l'application.

C'est la raison pour laquelle Facebook avait pris la décision de déconnecter 50 millions de comptes (et ainsi une réinitialisation des jetons d'accès), auxquels 40 millions ont été ajoutés par mesure de précaution, sans pour autant procéder à une réinitialisation des mots de passe.

Le décompte de Facebook prend en considération l'utilisation de la fonctionnalité " Aperçu du profil en tant que " à partir de juillet 2017. L'exploitation de la faille (désormais comblée) est en rapport avec cette fonctionnalité et l'introduction en juillet 2017 d'une nouvelle version d'un module pour mettre en ligne des vidéos.

Si l'interface "Aperçu du profil en tant que " est censée être en lecture seule, elle a par erreur fourni la possibilité de publier une vidéo par le biais du souhait d'un bon anniversaire à des amis. Lorsque le module de publication vidéo est apparu dans " Aperçu du profil en tant que ", il a généré un jeton d'accès pour un utilisateur recherché et non pour l'utilisateur voulant avoir l'aperçu de son profil.

C'est cette combinaison de trois bugs qui a débouché sur une vulnérabilité. Un simple coup de chance pour les attaquants ?

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2034373
Et bien, je n'en fais pas partie !

De plus, j'avoue, avec un peu de honte (ricanement de Satanas), me délecter des failles de ce genre de connerie numérique. Je ne vais pas dire que ça leur fera les pieds mais... Un p'tit peu quand même.

Qu'il est bon d'être méchant (Dungeon Keeper)
Le #2034381
Ulysse2K a écrit :

Et bien, je n'en fais pas partie !

De plus, j'avoue, avec un peu de honte (ricanement de Satanas), me délecter des failles de ce genre de connerie numérique. Je ne vais pas dire que ça leur fera les pieds mais... Un p'tit peu quand même.

Qu'il est bon d'être méchant (Dungeon Keeper)


"Et bien, je n'en fais pas partie !"

idem

"Qu'il est bon d'être méchant (Dungeon Keeper)"

Molineux Powaaa

(ah et teste Dungeons 2/3, c'est un gros plagiat mais c'est génial)
Le #2034387
LinuxUser a écrit :

Ulysse2K a écrit :

Et bien, je n'en fais pas partie !

De plus, j'avoue, avec un peu de honte (ricanement de Satanas), me délecter des failles de ce genre de connerie numérique. Je ne vais pas dire que ça leur fera les pieds mais... Un p'tit peu quand même.

Qu'il est bon d'être méchant (Dungeon Keeper)


"Et bien, je n'en fais pas partie !"

idem

"Qu'il est bon d'être méchant (Dungeon Keeper)"

Molineux Powaaa

(ah et teste Dungeons 2/3, c'est un gros plagiat mais c'est génial)


J'ai Dungeons 3

Tu penses, quand je vois un "DK Like", faut que je l'essaye.

Celui-ci aussi est vraiment bien (peut-être encore mieux je dirais) :
"War for the Overlord"
Les premières versions étaient assez boguées mais maintenant, ça roule. Dommage qu'il soit en anglais (on perd un peu la finesse de notre langue)
Le #2034390
J'ai un compte FB.
Où peut-on remplir le formulaire pour toucher des indemnités ?
Le #2034392
Ben je suis sauve :-)

oups je viens de m apercevoir que je n'ai pas FB
Le #2034393
ca parait quand meme bien bizarre le nombre de fuite chez FB en ce moment
Le #2034394
yam103 a écrit :

J'ai un compte FB.
Où peut-on remplir le formulaire pour toucher des indemnités ?


Demande à Francky il a la réponse
Le #2034412
Ulysse2K a écrit :

LinuxUser a écrit :

Ulysse2K a écrit :

Et bien, je n'en fais pas partie !

De plus, j'avoue, avec un peu de honte (ricanement de Satanas), me délecter des failles de ce genre de connerie numérique. Je ne vais pas dire que ça leur fera les pieds mais... Un p'tit peu quand même.

Qu'il est bon d'être méchant (Dungeon Keeper)


"Et bien, je n'en fais pas partie !"

idem

"Qu'il est bon d'être méchant (Dungeon Keeper)"

Molineux Powaaa

(ah et teste Dungeons 2/3, c'est un gros plagiat mais c'est génial)


J'ai Dungeons 3

Tu penses, quand je vois un "DK Like", faut que je l'essaye.

Celui-ci aussi est vraiment bien (peut-être encore mieux je dirais) :
"War for the Overlord"
Les premières versions étaient assez boguées mais maintenant, ça roule. Dommage qu'il soit en anglais (on perd un peu la finesse de notre langue)


J'ai que le 2, j'ai vraiment aimé toutes les références et effectivement la traduction entière en FR de qualité

War for the OverLord (ou juste OverLord?) il me semble que j'ai testé il y a très longtemps mais je confond peut-être.
Le #2034447
LinuxUser a écrit :

Ulysse2K a écrit :

LinuxUser a écrit :

Ulysse2K a écrit :

Et bien, je n'en fais pas partie !

De plus, j'avoue, avec un peu de honte (ricanement de Satanas), me délecter des failles de ce genre de connerie numérique. Je ne vais pas dire que ça leur fera les pieds mais... Un p'tit peu quand même.

Qu'il est bon d'être méchant (Dungeon Keeper)


"Et bien, je n'en fais pas partie !"

idem

"Qu'il est bon d'être méchant (Dungeon Keeper)"

Molineux Powaaa

(ah et teste Dungeons 2/3, c'est un gros plagiat mais c'est génial)


J'ai Dungeons 3

Tu penses, quand je vois un "DK Like", faut que je l'essaye.

Celui-ci aussi est vraiment bien (peut-être encore mieux je dirais) :
"War for the Overlord"
Les premières versions étaient assez boguées mais maintenant, ça roule. Dommage qu'il soit en anglais (on perd un peu la finesse de notre langue)


J'ai que le 2, j'ai vraiment aimé toutes les références et effectivement la traduction entière en FR de qualité

War for the OverLord (ou juste OverLord?) il me semble que j'ai testé il y a très longtemps mais je confond peut-être.


Non non, c'est bien War for the Overlord.
https://store.steampowered.com/app/230190/War_for_the_Overworld/
Le #2034448
Franchement ça fait mal, facebook est vraiment en mauvaise posture
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme