Faille Facebook : savoir si votre compte fait partie des accès compromis

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Faille Facebook : savoir si votre compte fait partie des accès compromis

Publié le 15 octobre 2018 à 09:30 par Jérôme G.

Lire sur mobile

Ce ne sont pas 50 millions de comptes Facebook qui ont été affectés par l'attaque liée au vol de jetons d'accès mais 30 millions. Parmi eux, il y a bel et bien eu accès à des données.

Facebook a mis à jour ses informations au sujet de la faille de sécurité dont le réseau social a été la victime et qui a été exploitée par des attaquants. Cette faille se situait pour rappel au niveau de la fonctionnalité " Aperçu du profil en tant que " et résultait de la combinaison de trois bugs distincts dans du code. Elle a permis à des attaquants de voler des jetons d'accès - tokens - à des comptes (pas les identifiants).

Après avoir évoqué 50 millions de comptes pour lesquels les jetons d'accès auraient été affectés, Facebook revoit ce chiffre à la baisse. Ce sont environ 30 millions de comptes dont les tokens ont été dérobés.

Si le décompte a été revu à la baisse, la mauvaise nouvelle est que des tokens ont effectivement été utilisés pour l'accès à des informations personnelles. Pour 15 millions, il s'agit du nom et d'informations de contact (email, numéro de téléphone ou les deux si renseignés).

Pour 14 millions de personnes, les attaquants ont en plus eu accès à d'autres détails sur les profils : nom d'utilisateur, genre, langue, situation amoureuse, religion, ville d'origine, ville actuelle, date de naissance, types d'appareils utilisés pour accéder à Facebook, éducation, travail, dix derniers lieux d'une connexion, Pages ou personnes suivies, les quinze recherches les plus récentes.

Pour le dernier million de personnes, les attaquants n'ont eu accès à aucune information. Via une page d'aide, Facebook a mis en place un outil permettant à un utilisateur de savoir si son compte a été impacté par le problème de sécurité. Il suffit pour cela de s'y rendre en se connectant à son compte et un message livrera le verdict.

Ultérieurement, Facebook va envoyer des messages personnalisés aux 30 millions de personnes affectées. Le groupe de Mark Zuckerberg réitère que l'attaque n'a pas concerné Messenger, WhatsApp, Instagram, Oculus, les applications tierces ou encore les paiements.

Une enquête demeure en cours et sur demande du FBI, Facebook ne s'étend pas sur les intentions des attaquants, voire leur identité. La faille était présente entre juillet 2017 et septembre 2018. La détection d'une activité anormale a débuté le 14 septembre 2018. Le 25 septembre, il a été déterminé qu'il s'agissait d'une attaque et la vulnérabilité exploitée a été identifiée. Elle a été corrigée en deux jours et avec la réinitialisation des jetons d'accès pour les personnes potentiellement affectées.

Dans cette affaire, l'autorité de protection des données irlandaise (pour l'Europe) a ouvert une enquête et se penchera notamment sur le respect par Facebook de ses obligations en vertu du Règlement général sur la protection des données (RGPD).