Le piratage de 50 millions de comptes a été annoncé par Facebook le vendredi 28 septembre 2018. Les dirigeants du site ont beau expliquer que ce piratage n’a eu aucune conséquence fâcheuse et que la faille de sécurité a été comblée, cela n’empêche pas les observateurs de s’inquiéter des potentielles répercussions. De plus, les motivations des pirates n’étant pas connues, il est impossible d’être certain des conséquences définitives de cette attaque.
Facebook, un réseau aux multiples usages
Le réseau social américain et ses dirigeants ont toujours donné une direction assez claire au développement du site et de ses services : proposer toujours plus d’options et offrir aux utilisateurs l’opportunité de tout faire sans jamais quitter l’application. Toujours dans la même idée, le réseau social est devenu une véritable carte d’identité avec laquelle vous pouvez vous connecter à de nombreux sites et applications.
Cette utilisation du réseau social est devenue si naturelle pour la plupart des utilisateurs qu’ils n’y pensent même plus au moment de se connecter sur un nouveau service. Pourtant, ce piratage qui a été dévoilé au public le 28 septembre 2018, nous rappelle brutalement comme une simple faille dans le code source du réseau social peut mettre en péril l’intégralité de nos données et de nombreux autres comptes personnels.
Le monde entier est touché par ce problème. En effet, Mounir Mahjoubi, secrétaire d’État chargé du numérique, avait annoncé que des comptes français avait été concernés par le problème (voir l’article sur le sujet)
Le Facebook login en cause
En résumé, les hackers ont exploité une faille du code source du réseau social qui se trouve dans l’option de sécurité et de confidentialité « aperçu du profil en tant que ». Cette option permet de voir son profil du point de vue de n’importe quel contact et du point de vue de quelqu’un qui n’est pas dans vos contacts. Depuis cette option, les hackers ont pu récupérer les jetons d’accès de 50 millions de comptes.
Un jeton d’accès, c’est une courte ligne de code qui permet au réseau social de savoir qui vous êtes une fois que vous êtes connecté. C’est ensuite le même jeton d’accès qui va permettre à d’autres applications de vous reconnaître grâce à votre profil. Vous pouvez ainsi vous connecter plus rapidement. Cette faille a donc, potentiellement, ouvert une faille majeure dans le protocole de sécurité de nombreuses autres applications.
L’enquête est en cours
Cette information, c’est Guy Rosen, vice-président de la gestion des produits au sein du réseau social américain, qui l’a partagée publiquement. Ce n’est donc pas une simple hypothèse ou une rumeur. Ce piratage a bel et bien pu permettre aux hackers d’accéder à d’autres de vos comptes et applications et d’en récupérer les données personnelles présentes.
Cependant, Facebook s’est voulu rassurant. Les dirigeants ont immédiatement déclaré qu’il était inutile de changer son mot de passe puisque la faille avait été comblée et le système de jeton réinitialisé pour en distribuer un nouveau à chaque compte. Pour autant, de nombreux particuliers ont pris la peine de modifier leur mot de passe pour se rassurer.