90 millions de comptes Facebook concernés

Vendredi 28 octobre Facebook a déconnecté de force 90 millions de comptes. L’objectif était de limiter les conséquences d’une attaque exploitant une faille de sécurité révélée un peu plus tôt dans la semaine. Les mots de passe des utilisateurs n’ont pas été volés, la déconnexion aura en effet permis de mettre un terme au risque de récupération des données.

En Europe moins de 10% des comptes Facebook auraient été concernés, soit moins de 50 millions d’utilisateursI, si l’on en croit les représentants de l’entreprise, qui fêtera ses 15 ans en février 2019. A priori, donc, dormez tranquilles braves gens, Facebook veille sur vous.

Cela pourrait aller, mais c’est oublier le fond de l’affaire, bien plus inquiétante qu’il n’y parait.

A l’heure où, au travers du RGPDII l’Europe rebat les cartes du marché du numérique en mettant comme valeur fondatrice la protection des données personnelles, affirmant ainsi la souveraineté des EtatsIII il est bon de s’arrêter quelques instants sur ce qui sous-tend ce dossier.

Les tokens

La faille dévoilée la semaine dernière exploite les tokens, ou jetons d’accès, utilisés par de nombreuses applications pour faciliter l’authentification. Vous connaissez parfaitement ce que sont ces « jetons », il s’agit des fameuses demandes du type « Pour utiliser cette application autorisez-vous Facebook à gérer la connexion ?« .

Via cette petite fonctionnalité, à priori toute simple et sans conséquence, il a été rendu facile d’accéder à des données utilisateurs, en toute discrétion (du moins au début, avant que de nombreux hackers se joignent aux premiers).

Et en effet, comme le révèle cet article publié dans The Hacker News, l’enquête conduite par les équipes de sécurité de Facebook, à la suite d’une détection d’activité anormalement élevée sur les serveurs, a révélé une cyberattaque massive, en cours depuis le 16 septembre, visant à voler des données sur des millions d’utilisateurs de Facebook :

On comprend donc mieux l’empressement à déconnecter tous les comptes aux activités suspectes dans la nuit de jeudi 25 à vendredi 26 octobre 2018.

10 jours tranquilles pour les pirates ?

Oui, vous avez bien lu, la faille a été exploitée pendant 10 jours. Mais attention, tenez vous bien, il s’agit de 10 jours au bas mot, car dans les faits, après enquête, nous avons appris de source sûre, fiable et qualifiée que les premières fuites sont apparues sur le dark web (une partie cachée du Web, pour faire simpleIV) début août !

Rien de ceci ne serait possible sans une spécificité de Facebook qui autorise cette scandaleuse situation.

Les Black Hats adoooooooooorent Facebook

Vous vous demandez ce que sont les black hats ? C’est assez simple, dans le monde des hackers il y a les white hats et les black hats. Si tous font la chasse au bug et failles de sécurité seuls les premiers agissent, moyennant rétribution, pour améliorer la sécurité des applications ou des serveurs. Google a versé par exemple en 2014 plus de 1,5 millions de dollars aux white hats qui l’ont aidé à améliorer la sécurité de ses applicationsV).

Les autres, les black hats, agissent en toute discrétion ou presque, ils se revendent les informations sur le Dark-Web, et sur Facebook, qui ne pratique pas la rémunération pour ceux qui trouvent des failles ou des bugs, autant en profiter sans rien dire !

Interrogé sur le sujet voici ce que nous répond un connaisseur :

Le truc avec Facebook c’est toujours pareil : on minimise à mort les problèmes. Or il y a depuis quelques années un vrai problème avec Facebook, l’obligation dans certains cas, pour accéder à des applis tiers ou des billetteries par exemple, d’avoir un compte Facebook pour se connecter. Ca c’est affreux car finalement même si tu ne veux pas être sur les réseaux sociaux indirectement tu l’es, donc tu crées ton compte Facebook, tu dois valider ton compte en mettant ton email, ça te permet de prendre ton billet de concert, sauf que tu as filé ton email à Facebook et donc indirectement aux hackers. Et plus encore, si tu n’es pas très futé peut-être aussi une partie de tes infos persos, mot de passe et tout ça. Et même si tu ne veux pas du tout être sur les réseaux sociaux… car pour utiliser certains applications androids, certains sites, tu n’as pas le choix. C’est d’ailleurs un politique volontaire de Facebook : « Utilise notre système d’authentification et on te filera des thunes » (pour résumer rapidement l’idée).

Que font ces pirates avec les données ?

La variété des actions à engager est très large, l’imagination humaine étant sans limite. Vous avez peut-être reçu en septembre un e-mail avec cette phrase terrible en objet : « Vous avez été filmé en train de vous masturber » dans lequel l’expéditeur vous demandait d’alimenter son compte en Bitcoin à défaut de quoi il publierait auprès de vos contacts ladite vidéo ? Grâce à quelques photos de vous piochées depuis votre compte Facebook, en exploitant la faille de la semaine dernière, l’e-mail reçu aura encore plus de crédibilité et vous serez encore plus tenté de payer.

Mais plus grave encore (car l’arnaque Sextorsion exploite simplement les peurs) accéder aux informations de votre compte Facebook permet de mieux vous connaitre et de conduire des actions  très ciblées, comme nous pouvons le voir ici dans la série publicitaire The Wolf lancée par HP.

Encore une fois n’oubliez pas, si avant déjà la maxime disait qu’on ne rasait pas gratis, aujourd’hui dites vous que « Si c’est gratuit c’est que c’est toi le produit. » La meilleure défense, ici, est la vigilance. Et ne croyez pas que parce que vous ne seriez pas riche vous n’avez rien à craindre

Imprimer

Références   [ + ]

I. Selon Le Monde du 1er octobre 2018
II. Réglementation Générale pour la Protection des Données
III. La récente prise de parole de la commissaire européenne aux consommateurs, Vera Jourova, à l’attention du patron de Facebook, confirme s’il le fallait encore l’engagement politique du parlement Européen, et bien évidemment aussi les limites de son pouvoir.
IV. Pour en savoir plus sur le dark web
V. Près de 200 white hats ont ainsi été payé par Google en 2014, la somme la plus importante ayant été touchée par un hacker de 17 ans (150 000 dollars