Retrouver toute notre actualité,            
et nos études de cas client.

Faille de sécurité dans Facebook : same player, fail again ?

Actualités
Mardi 02 Octobre 2018

Tout le monde est au courant : Facebook a dévoilé vendredi 28 septembre que 50 millions de ses comptes ont été victimes d’un incident de sécurité. L’annonce a été reprise et commentée par de nombreux media, soulignant l’appétit de la presse pour la sécurité… surtout quand on peut agiter le spectre des vilains pirates qui font trembler les géants du numérique.

Que s’est-il vraiment passé ?

Selon le communiqué  du réseau social, analysé par nos partenaires de Yogosha, trois failles ont été combinées pour réaliser cette attaque.

On apprend que le problème est en partie liée à la fonctionnalité « View as » (« voir en tant que ») qui permet de visualiser votre profil au travers des yeux d’un autre utilisateur. Ce genre de fonction s’appuie sur un « passe-passe » entre les identités pour changer de point de vue ; et on sent bien que sa sécurité doit être particulièrement contrôlée. Les autres failles sont liées au module d’upload de vidéo, et en particulier à un token d’accès. Là encore, on touche à des fonctions intrinsèquement sensibles. Et il s’agit là de techniques de plus en plus utilisées à l’heure des API et de l’explosion des échanges inter-applications. Ce qui souligne, s’il fallait encore le faire, l’importance des bonnes vieilles méthodes de développement sécurisé.

Au-delà de l’explication technique, les utilisateurs sont en droit de se demander si l’attaquant a pu accéder à des données privées, comme les messages envoyés par l’application Messenger. A priori non, mais les réponses du géant ne sont pas des plus claires sur ce point.

Quant à l’origine de l’attaque ? « We may never know » a indiqué  Guy Rosen, le vice-président en charge du product management chez  Facebook. Un pirate de Taïwan avait annoncé qu’il allait supprimer en live le compte du créateur du réseau social… mais son lien avec l’attaque des 50 millions n’est pas prouvé à ce stade.

Et les autres ?

Au-delà de sa propre sécurité, Facebook doit désormais commencer à se soucier de celles des autres. Le site est devenu un fournisseur d’identité largement utilisé. Vous ne souhaitez pas créer un compte de plus sur un site ? Accédez avec votre compte Facebook !

L’écosystème du réseau social pourrait avoir été impacté. Si vos jetons d’accès sont corrompus, et si ces jetons sont utilisés par d’autres sites, le problème va se répandre et élargir ainsi la zone d’impact.

Il est donc prudent de se déconnecter et, pour les fournisseurs de services tiers, de réinitialiser ce type de jeton. Et puis tant qu’à faire, cette déconnexion peut être l’occasion d’activer une méthode d’authentification plus forte pour se connecter à Facebook. 

La loi des séries…

Cet incident s’ajoute à une liste déjà bien fournie pour le site. Après le scandale relatif à Cambridge Analytica, après des excuses plus ou moins crédibles du dirigeant face au Congrès Américain, après plusieurs affaires de fake news et de récupération politique, et avec plusieurs investigations par les agences fédérales américaines, ce nouveau problème de sécurité et de protection des données ne va pas redorer le blason du site.

Vue de l’Europe, cette fâcheuse nouvelle mine encore un peu plus l’image de marque de Facebook. Comment vont réagir les autorités de contrôle européennes et la CNIL ? Est-ce la « goutte d’eau » qui pourrait causer au site une condamnation ?

Avant même de parler d’amende record ou de première grosse affaire « post GDPR », on peut s’interroger sur l’impact vis-à-vis des utilisateurs. Un tel incident est-il de nature à vous faire fermer votre compte ? La confiance est-elle toujours là ?

Et maintenant ?

Pour Facebook et pour la communauté Sécurité, il faudra garder un oeil sur la suite de cet incident. On peut se demander pourquoi l'attaquant n'a pas remonté à Facebook les failles identifiés. Le programme de Bug Bounty du site aurait pu les récompenser... Et si les données accédées ont été volées pour être revendues au plus offrant ? Les données vont-elles permettre d'autres attaques ? Les services de cyber threat intelligence vont tourner à bloc pour y voir plus clair !

Et pour le grand public ? A l’heure où les incidents de sécurité se succèdent dans les médias, après les compagnies aériennes, les hôpitaux, ou autres sites sensibles ou à forte audience, il sera intéressant de suivre les usages des internautes. La sécurité et la « privacy » sont-ils des arguments désormais assez forts pour impacter les habitudes et les modes de consommation ? Combien d’avertissements seront nécessaires pour que les acteurs du numérique prennent la mesure du risque et renforcent davantage encore leur sécurité ?