Vendredi matin, beaucoup d’utilisateurs ont eu du mal à se connecter à leur compte FacebooK. Même constat pour Messenger.
Plusieurs autres applications dépendantes d’un Facebook Login ont dû être relancées. Certains en ont conclu à un bug passager, un changement de conditions d’utilisation, ou de nouvelles règles sur les API. Il n’en est rien.
Facebook a annoncé, ce vendredi 28 septembre, avoir été la victime d’une grosse fuite de données. Les hackers ont eu un accès total à 50 millions de comptes. Par sécurité, la société a déconnecté 90 millions de profils potentiellement compromis.
D’après un dossier du New York Times, Facebook a découvert la faille jeudi et a immédiatement contacté le FBI. Les personnes derrière cette attaque ont exploité une vulnérabilité dans le code de Facebook.
En utilisant le paramètre « Voir Comme » sur un profil, ils avaient la possibilité de récupérer le token d’accès du compte. Un élément qui leur a permis ensuite d’utiliser le compte concerné comme bon leur semblait. Facebook a annoncé que cette faille avait été corrigée dès le jeudi soir.
Les tokens d’accès des 50 millions de comptes concernés ont été réinitialisés, de même que 40 millions d’autres profils qui auraient été ciblés. Cela a eu pour effet d’imposer une reconnexion sur l’ensemble des applications du groupe Facebook, de même que sur celles utilisant le Facebook Login.
« C’est un problème de sécurité très grave et nous le prenons très au sérieux, » a déclaré Mark Zuckerberg dans une téléconférence avec des médias. « Cette attaque a exploité une interaction complexe de problèmes multiples dans notre code, » complétera Guy Rosen, VP of Product Management de Facebook.
Pour l’instant, impossible de connaître les origines de cette attaque, ni même ses conséquences. Cependant, cette nouvelle n’arrange pas les affaires de Facebook, déjà pointé du doigt pendant le scandale Cambridge Analytica, et alors qu’un hacker chinois a annoncé qu’il supprimera le profil de Mark Zuckerberg ce dimanche. Pire, cette semaine, la société était pointée du doigt pour avoir laissé les annonceurs utiliser les données de contacts confidentielles des utilisateurs pour le ciblage publicitaire.
Il ne fait aucun doute que de nombreux états des États-Unis vont demander au géant de rendre des comptes. Récemment, Uber a été condamné à près de 150 millions de dollars d’amende pour avoir couvert le piratage de 57 millions de comptes d’utilisateurs et de chauffeurs.
Cette sentence a aussi été accompagnée par l’obligation de publier tous les incidents et toutes les failles dans un rapport trimestriel, et ce, pendant deux ans. Une tâche qui pourrait très bien s’appliquer à Facebook.
