Alex Stamos, en charge de la sécurité chez Facebook, présente une nouvelle notification de sécurité, quand Facebook suspecte qu’un compte est la proie d’attaque par des acteurs en lien avec un État.
La personne notifiée est invitée à activer l’approbation de connexion, une option disponible pour tous les utilisateurs : toute demande de connexion n’émanant de l’ordinateur habituel (ou d’une liste d’appareils enregistrés) et du navigateur habituel, ne sera confirmée qu’après avoir entré un code reçu par SMS.
Ce qui impose deux compromis : accepter de communiquer un numéro de portable à Facebook, et, le cas échéant, désactiver des options de confidentialité de la navigation et de la suppression automatique de l’historique de son navigateur Web. Des désactivations qui seraient nécessaires pour le bon fonctionnement des mesures de sécurité, mais qui facilitent grandement le pistage des utilisateurs et la collecte de données personnelles. Ce qui pourrait faire tiquer toute personne souhaitant utiliser le réseau social en limitant au mieux l’empiétement sur la vie privée.
L’approbation de connexion est une option similaire à, mais plus sûre que l’alerte de connexion, qui informe par SMS de toute connexion suspecte, ce qui implique aussi de communiquer un numéro de portable à Facebook. L’alerte de connexion, comme l’approbation de connexion, sont des options à configurer dans les paramètres de sécurité.
Il semblerait que la nouvelle notification en cas de suspicion de cyberattaque d’État, soit indépendante de l’activation ou non des alertes ou des approbations de connexion, et elle s’affiche directement sur la page Web de Facebook ou dans l’application.
Facebook distingue les attaques parrainées par des États aux attaques criminelles habituelles, car les premières sont nettement plus sophistiquées et dangereuses que les secondes. La personne notifiée ne recevra en revanche aucun détail sur les éléments qui poussent Facebook à qualifier les attaques de cyberattaques d’État, ‘afin de protéger l’intégrité de nos méthodes et de nos processus.’