Le travail chez Facebook. Photo: Facebook

Facebook : jusqu’à 90 millions de comptes piratés

Les ingénieurs de Facebook ont tant et si bien programmé que tous les comptes Facebook – plus de deux milliards – sont vulnérables depuis 14 mois.

La vulnérabilité de sécurité a exposé les jetons d’accès des utilisateurs, ce qui permet aux mécréants de se connecter sans connaître le mot de passe de la victime, pour télécharger les vidéos, les photos et les informations d’un compte, voire de les modifier.

Les jetons d’accès permettent également d’accéder à toute page web ou toute application liée au compte Facebook.

« Seulement » 50 millions de comptes seraient directement affectés, et les comptes de 40 millions d’utilisateurs ont été verrouillés.

Après avoir corrigé les bogues, Facebook a déconnecté ces 90 millions d’utilisateurs afin d’invalider leurs jetons d’accès.

La vulnérabilité était exploitable avec la fonctionnalité « Voir en tant que » qui donne la possibilité à un utilisateur de vérifier ce que des tiers voient de son profil.

Au total, trois bogues auraient été impliquées dans la vulnérabilité.

Le premier autorisait le téléversement d’une vidéo sur une page où la possibilité n’aurait pas dû être disponible, le second générait à tort un jeton d’accès pour le téléversement, et le troisième conférait le jeton d’accès à la personne qui regardait un profil, et non au détenteur du profil.

Facebook a découvert la vulnérabilité après avoir remarqué un pic d’activité, les pirates exploitant son API pour automatiser le vol d’informations personnelles.

Si les pirates avaient été plus prudents, Facebook n’aurait sans doute rien remarqué. Rien n’empêche de penser que d’autres pirates n’aient exploité plus discrètement la faille de sécurité depuis des mois, sans éveiller le moindre soupçon.

Si la Commission européenne prouve qu’une entreprise n’a pas suffisamment protégé les informations de ses clients ou utilisateurs européens, elle peut, en vertu du nouveau Règlement général sur la protection des données (RGPD), lui infliger une amende jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’année précédente.

Facebook risque une amende de 1,63 milliard d’euros.

Le RGPD oblige également toute entreprise victime d’un piratage à avertir les régulateurs dans les 72 heures après sa découverte, sans quoi elle risque une amende d’un montant pouvait atteindre 2 % du chiffre d’affaires mondial de l’année précédente.

Dans le cas présent, il semble que Facebook ait prévenu les autorités dans les délais.

Jusqu’à présent, l’Europe ne s’est pas particulièrement illustrée contre Facebook. Dans l’affaire Cambridge Analytica, les députés européens se sont contentés d’une séance de questions-réponses avec Mark Zuckerberg, CEO de Facebook, qui tenait de la farce, ce dernier ayant eu la liberté de répondre ou non aux questions. À comparer avec une audition devant le Sénat des États-Unis, où Zuckerberg était tenu de répondre aux questions, et s’il ne le pouvait pas, répondre dans un délai très bref par écrit.

Ce piratage n’est pas forcément le plus grand problème pour l’utilisateur du site, alors que le réseau social a prouvé depuis des années sa désinvolture avec les lois sur la protection des données personnelles.

Derniers scandales en date :

  • Si l’on donne son numéro de portable pour l’authentification à facteur multiple de Facebook, ce dernier l’exploite à des fins publicitaires, sans demander l’autorisation ;
  • On peut être ciblé par une publicité grâce à un numéro de téléphone que l’on n’a pas inscrit dans son profil et jamais donné à Facebook. Ce dernier se sert des numéros trouvés dans les carnets d’adresses d’autres utilisateurs, sans demander son autorisation à l’intéressé.

Ce ne sont que les deux dernières violations flagrantes du droit européen, et sans doute du droit de nombreux pays, mais les législateurs et les régulateurs sont complètement dépassés, ou ne s’intéressent pas à ces dernières, qui restent le plus souvent impunies, ou punies d’amendes risibles représentant quelques minutes de profit de Facebook.