Les don­nées de 29 mil­lions de per­sonnes com­pro­mises

Le Droit - - AFFAIRES -

SAN FRAN­CIS­CO — Une faille de sé­cu­ri­té dé­cou­verte en sep­tembre dans Fa­ce­book a per­mis à des pi­rates in­for­ma­tiques d’ac­cé­der à des don­nées per­son­nelles de quelque 29 mil­lions d’usa­gers, un chiffre in­fé­rieur aux craintes ini­tiales du pre­mier ré­seau so­cial au monde.

Fa­ce­book a pré­ci­sé ven­dre­di dans un com­mu­ni­qué que 15 mil­lions de per­sonnes avaient vu leur nom et leurs contacts per­son­nels com­pro­mis et que des in­for­ma­tions sup­plé­men­taires l’avaient aus­si été pour 14 mil­lions d’autres usa­gers. Le ré­seau so­cial avait par­lé de 50 mil­lions de comptes com­pro­mis en ré­vé­lant l’af­faire le 28 sep­tembre.

Pour l’en­semble des 29 mil­lions de comptes, les ha­ckers — dont l’iden­ti­té ou l’ori­gine n’ont pas été ré­vé­lées jus­qu’à pré­sent — ont ac­cé­dé au nom de l’usa­ger, son adresse de cour­riel et/ou son nu­mé­ro de té­lé­phone si ce­lui-ci était in­di­qué dans son pro­fil.

La pêche a été beau­coup plus fruc­tueuse, et po­ten­tiel­le­ment plus dom­ma­geable, dans les 14 autres mil­lions de cas.

Outre le nom et les contacts, les pi­rates in­for­ma­tiques ont aus­si pu avoir ac­cès au sexe, au sta­tut in­di­quant la si­tua­tion amou­reuse, l’édu­ca­tion re­çue, mais aus­si à la date de nais­sance, au lieu d’ha­bi­ta­tion s’il était ren­sei­gné, à l’em­ploi oc­cu­pé ain­si qu’aux pages in­ter­net et per­sonnes sui­vies par les usa­gers concer­nés.

Pour un autre mil­lion de cas, les pi­rates n’ont pu ac­cé­der à au­cune in­for­ma­tion.

Fa­ce­book a in­di­qué que la po­lice fé­dé­rale amé­ri­caine pour­sui­vait son en­quête et lui avait de­man­dé de ne rien en dé­voi­ler et de res­ter dis­cret sur ce que pou­vaient être les ob­jec­tifs des ha­ckers.

Au grand sou­la­ge­ment des uti­li­sa­teurs, Fa­ce­book a pré­ci­sé que les échanges — sou­vent très per­son­nels — sur son sys­tème de mes­sa­ge­rie Mes­sen­ger n’étaient « pas ac­ces­sibles aux at­ta­quants » à l’ex­cep­tion d’une confi­gu­ra­tion très par­ti­cu­lière.

Quand un membre d’un groupe Mes­sen­ger était aus­si ad­mi­nis­tra­teur d’une page Fa­ce­book, un mes­sage en­voyé par un uti­li­sa­teur de Fa­ce­book de­ve­nait ac­ces­sible aux pi­rates.

QUE S’EST-IL PAS­SÉ?

Le groupe de Mark Zu­cker­berg a confir­mé ven­dre­di ce qu’il avait ré­vé­lé le 28 sep­tembre. Les pi­rates ont pro­fi­té de la conjonc­tion de plu­sieurs bugs da­tant de juillet 2017 et ni­chés dans la fonc­tion­na­li­té « Voir en tant que », qui per­met de vi­sua­li­ser ce à quoi res­semble son propre pro­fil quand il est vu par un autre uti­li­sa­teur.

Dans cer­tains cas, l’uti­li­sa­tion de cette fonc­tion gé­né­rait « par er­reur » des clés nu­mé­riques de con­nexion, ap­pe­lées en an­glais « ac­cess to­kens », qui per­mettent de res­ter connec­té sans avoir à ren­trer son mot de passe à chaque fois.

Les pi­rates sont ar­ri­vés à s’em­pa­rer de ces clés qui donnent ac­cès aux comptes comme s’ils en étaient le ti­tu­laire.

Ils ont dé­bu­té par 400 000 comptes ori­gi­nels. « Les at­ta­quants ont com­men­cé avec un groupe de comptes qu’ils contrô­laient di­rec­te­ment, en­suite ils se sont at­ta­qués à leurs amis et puis les amis d’amis et ain­si de suite, pro­fi­tant à chaque fois de la faille », a dé­taillé Guy Ro­sen, vice-pré­sident ges­tion de pro­duit chez Fa­ce­book.

Le 16 sep­tembre, Fa­ce­book avait dé­tec­té un pro­blème suite à une hausse in­ha­bi­tuelle du nombre de connexions et dé­ci­dé d’en­quê­ter. Le 25 sep­tembre, le ré­seau dé­couvre l’at­taque et la faille.

Les 2,2 mil­liards d’usa­gers du ré­seau peuvent vé­ri­fier s’ils font par­tie des vic­times sur le site d’aide de Fa­ce­book. Le ré­seau so­cial a in­di­qué qu’il en­ver­rait des mes­sages per­son­na­li­sés aux 30 mil­lions de vic­times dans les pro­chains jours pour leur in­di­quer ce qui a pré­ci­sé­ment été com­pro­mis et pour leur don­ner des con­seils utiles pour mieux se pro­té­ger.

Les ap­pli­ca­tions Mes­sen­ger Kids, Ins­ta­gram, WhatsApp, Ocu­lus, Work­place ou Pages n’ont pas été af­fec­tés. Les paiements, les ap­pli­ca­tions de par­ties tierces ou les comptes de dé­ve­lop­peurs ont éga­le­ment été épar­gnés.

Fa­ce­book doit main­te­nant faire face no­tam­ment à une en­quête des au­to­ri­tés ir­lan­daises — où se trouve son siège eu­ro­péen — en ap­pli­ca­tion du rè­gle­ment eu­ro­péen sur la pro­tec­tion des don­nées pour voir si le ré­seau so­cial avait bien rem­pli ses obli­ga­tions.

Cette nou­velle at­teinte à la sé­cu­ri­té du ré­seau pour­rait ébran­ler un peu plus la confiance des uti­li­sa­teurs dé­jà échau­dés par l’af­faire Cam­bridge Ana­ly­ti­ca et l’uti­li­sa­tion à leur in­su de don­nées de mil­lions d’uti­li­sa­teurs à l’oc­ca­sion de l’élec­tion pré­si­den­tielle amé­ri­caine de 2016.

— AGENCE FRANCE-PRESSE

Fa­ce­book en­ver­ra un mes­sage per­son­na­li­sé aux vic­times dans les pro­chains jours pour leur in­di­quer ce qui a été com­pro­mis.

Newspapers in French

Newspapers from Canada

© PressReader. All rights reserved.