Faille Facebook : moins de 5 millions de comptes européens affectés

Le par Jérôme G.  |  14 commentaire(s)
Facebook-Bug-Bounty

Le nombre de comptes européens sur Facebook touchés par l'incident de sécurité de la semaine dernière est évalué à moins de 10% des 50 millions de comptes concernés.

En fin de semaine dernière, Facebook a révélé avoir été la victime d'une faille de sécurité. Elle a été exploitée dans le cadre d'une attaque qui a touché 50 millions de comptes sur Facebook et dont les protagonistes ont pu prendre le contrôle pendant près de deux jours.

Selon la Data Protection Commission, l'autorité de protection des données irlandaise qui est en contact avec Facebook afin de rendre compte de cet incident de sécurité pour l'Europe, le nombre de comptes européens potentiellement affectés est de moins 10 % sur les 50 millions de comptes concernés en tout.

Parmi ces moins de 5 millions de comptes européens, on sait déjà qu'il y a des comptes français. Une répartition précise n'a toutefois pas encore été communiquée.

Rappelons que dans cette affaire, ce sont des jetons d'accès (tokens) Facebook qui ont été dérobés, pas des identifiants. Ils permettent de garder des utilisateurs connectés pour leur éviter de devoir ressaisir leur mot de passe pour l'application.

C'est la raison pour laquelle Facebook avait pris la décision de déconnecter 50 millions de comptes (et ainsi une réinitialisation des jetons d'accès), auxquels 40 millions ont été ajoutés par mesure de précaution, sans pour autant procéder à une réinitialisation des mots de passe.

Le décompte de Facebook prend en considération l'utilisation de la fonctionnalité " Aperçu du profil en tant que " à partir de juillet 2017. L'exploitation de la faille (désormais comblée) est en rapport avec cette fonctionnalité et l'introduction en juillet 2017 d'une nouvelle version d'un module pour mettre en ligne des vidéos.

Si l'interface "Aperçu du profil en tant que " est censée être en lecture seule, elle a par erreur fourni la possibilité de publier une vidéo par le biais du souhait d'un bon anniversaire à des amis. Lorsque le module de publication vidéo est apparu dans " Aperçu du profil en tant que ", il a généré un jeton d'accès pour un utilisateur recherché et non pour l'utilisateur voulant avoir l'aperçu de son profil.

C'est cette combinaison de trois bugs qui a débouché sur une vulnérabilité. Un simple coup de chance pour les attaquants ?


  • Partager ce contenu :
Complément d'information

Vos commentaires Page 1 / 2

Trier par : date / pertinence
Ulysse2K Hors ligne VIP icone 44480 points
Le #2034373
Et bien, je n'en fais pas partie !

De plus, j'avoue, avec un peu de honte (ricanement de Satanas), me délecter des failles de ce genre de connerie numérique. Je ne vais pas dire que ça leur fera les pieds mais... Un p'tit peu quand même.

Qu'il est bon d'être méchant (Dungeon Keeper)
LinuxUser Hors ligne VIP icone 13668 points
Le #2034381
Ulysse2K a écrit :

Et bien, je n'en fais pas partie !

De plus, j'avoue, avec un peu de honte (ricanement de Satanas), me délecter des failles de ce genre de connerie numérique. Je ne vais pas dire que ça leur fera les pieds mais... Un p'tit peu quand même.

Qu'il est bon d'être méchant (Dungeon Keeper)


"Et bien, je n'en fais pas partie !"

idem

"Qu'il est bon d'être méchant (Dungeon Keeper)"

Molineux Powaaa

(ah et teste Dungeons 2/3, c'est un gros plagiat mais c'est génial)
Ulysse2K Hors ligne VIP icone 44480 points
Le #2034387
LinuxUser a écrit :

Ulysse2K a écrit :

Et bien, je n'en fais pas partie !

De plus, j'avoue, avec un peu de honte (ricanement de Satanas), me délecter des failles de ce genre de connerie numérique. Je ne vais pas dire que ça leur fera les pieds mais... Un p'tit peu quand même.

Qu'il est bon d'être méchant (Dungeon Keeper)


"Et bien, je n'en fais pas partie !"

idem

"Qu'il est bon d'être méchant (Dungeon Keeper)"

Molineux Powaaa

(ah et teste Dungeons 2/3, c'est un gros plagiat mais c'est génial)


J'ai Dungeons 3

Tu penses, quand je vois un "DK Like", faut que je l'essaye.

Celui-ci aussi est vraiment bien (peut-être encore mieux je dirais) :
"War for the Overlord"
Les premières versions étaient assez boguées mais maintenant, ça roule. Dommage qu'il soit en anglais (on perd un peu la finesse de notre langue)
yam103 Connecté VIP icone 19512 points
Premium
Le #2034390
J'ai un compte FB.
Où peut-on remplir le formulaire pour toucher des indemnités ?
Momo38 Hors ligne Vétéran avatar 1047 points
Le #2034392
Ben je suis sauve :-)

oups je viens de m apercevoir que je n'ai pas FB
Momo38 Hors ligne Vétéran avatar 1047 points
Le #2034393
ca parait quand meme bien bizarre le nombre de fuite chez FB en ce moment
skynet Connecté VIP icone 76398 points
Le #2034394
yam103 a écrit :

J'ai un compte FB.
Où peut-on remplir le formulaire pour toucher des indemnités ?


Demande à Francky il a la réponse
LinuxUser Hors ligne VIP icone 13668 points
Le #2034412
Ulysse2K a écrit :

LinuxUser a écrit :

Ulysse2K a écrit :

Et bien, je n'en fais pas partie !

De plus, j'avoue, avec un peu de honte (ricanement de Satanas), me délecter des failles de ce genre de connerie numérique. Je ne vais pas dire que ça leur fera les pieds mais... Un p'tit peu quand même.

Qu'il est bon d'être méchant (Dungeon Keeper)


"Et bien, je n'en fais pas partie !"

idem

"Qu'il est bon d'être méchant (Dungeon Keeper)"

Molineux Powaaa

(ah et teste Dungeons 2/3, c'est un gros plagiat mais c'est génial)


J'ai Dungeons 3

Tu penses, quand je vois un "DK Like", faut que je l'essaye.

Celui-ci aussi est vraiment bien (peut-être encore mieux je dirais) :
"War for the Overlord"
Les premières versions étaient assez boguées mais maintenant, ça roule. Dommage qu'il soit en anglais (on perd un peu la finesse de notre langue)


J'ai que le 2, j'ai vraiment aimé toutes les références et effectivement la traduction entière en FR de qualité

War for the OverLord (ou juste OverLord?) il me semble que j'ai testé il y a très longtemps mais je confond peut-être.
Ulysse2K Hors ligne VIP icone 44480 points
Le #2034447
LinuxUser a écrit :

Ulysse2K a écrit :

LinuxUser a écrit :

Ulysse2K a écrit :

Et bien, je n'en fais pas partie !

De plus, j'avoue, avec un peu de honte (ricanement de Satanas), me délecter des failles de ce genre de connerie numérique. Je ne vais pas dire que ça leur fera les pieds mais... Un p'tit peu quand même.

Qu'il est bon d'être méchant (Dungeon Keeper)


"Et bien, je n'en fais pas partie !"

idem

"Qu'il est bon d'être méchant (Dungeon Keeper)"

Molineux Powaaa

(ah et teste Dungeons 2/3, c'est un gros plagiat mais c'est génial)


J'ai Dungeons 3

Tu penses, quand je vois un "DK Like", faut que je l'essaye.

Celui-ci aussi est vraiment bien (peut-être encore mieux je dirais) :
"War for the Overlord"
Les premières versions étaient assez boguées mais maintenant, ça roule. Dommage qu'il soit en anglais (on perd un peu la finesse de notre langue)


J'ai que le 2, j'ai vraiment aimé toutes les références et effectivement la traduction entière en FR de qualité

War for the OverLord (ou juste OverLord?) il me semble que j'ai testé il y a très longtemps mais je confond peut-être.


Non non, c'est bien War for the Overlord.
https://store.steampowered.com/app/230190/War_for_the_Overworld/
Rymix Hors ligne VIP icone 14505 points
Le #2034448
Franchement ça fait mal, facebook est vraiment en mauvaise posture
icone Suivre les commentaires
Poster un commentaire
avatar
Anonyme
Anonyme avatar