En fin de semaine dernière, Facebook a révélé avoir été la victime d'une faille de sécurité. Elle a été exploitée dans le cadre d'une attaque qui a touché 50 millions de comptes sur Facebook et dont les protagonistes ont pu prendre le contrôle pendant près de deux jours.
Selon la Data Protection Commission, l'autorité de protection des données irlandaise qui est en contact avec Facebook afin de rendre compte de cet incident de sécurité pour l'Europe, le nombre de comptes européens potentiellement affectés est de moins 10 % sur les 50 millions de comptes concernés en tout.
UPDATE Facebook data breach - @DPCIreland understands that the number of potentially affected EU accounts is less than 10% of the 50 million accounts in total potentially affected by the security breach. DPC Ireland statement beneath. #dataprotection #GDPR #EUdataP pic.twitter.com/oSfGy6DP2S
— Data Protection Commission Ireland (@DPCIreland) 1 octobre 2018
Parmi ces moins de 5 millions de comptes européens, on sait déjà qu'il y a des comptes français. Une répartition précise n'a toutefois pas encore été communiquée.
Rappelons que dans cette affaire, ce sont des jetons d'accès (tokens) Facebook qui ont été dérobés, pas des identifiants. Ils permettent de garder des utilisateurs connectés pour leur éviter de devoir ressaisir leur mot de passe pour l'application.
C'est la raison pour laquelle Facebook avait pris la décision de déconnecter 50 millions de comptes (et ainsi une réinitialisation des jetons d'accès), auxquels 40 millions ont été ajoutés par mesure de précaution, sans pour autant procéder à une réinitialisation des mots de passe.
Le décompte de Facebook prend en considération l'utilisation de la fonctionnalité " Aperçu du profil en tant que " à partir de juillet 2017. L'exploitation de la faille (désormais comblée) est en rapport avec cette fonctionnalité et l'introduction en juillet 2017 d'une nouvelle version d'un module pour mettre en ligne des vidéos.
Si l'interface "Aperçu du profil en tant que " est censée être en lecture seule, elle a par erreur fourni la possibilité de publier une vidéo par le biais du souhait d'un bon anniversaire à des amis. Lorsque le module de publication vidéo est apparu dans " Aperçu du profil en tant que ", il a généré un jeton d'accès pour un utilisateur recherché et non pour l'utilisateur voulant avoir l'aperçu de son profil.
C'est cette combinaison de trois bugs qui a débouché sur une vulnérabilité. Un simple coup de chance pour les attaquants ?
