En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour réaliser des statistiques d'audience et vous proposer des services ou publicités adaptés à vos centres d'intérêt.  En savoir plus  J'accepte

  Votre navigateur (${ userBrowser.name + ' ' + userBrowser.version }) est obsolète. Pour améliorer la sécurité et la navigation sur notre site, prenez le temps de mettre à jour votre navigateur.      
5 053.31 PTS
-0.62 %
5 047.00
-0.68 %
SBF 120 PTS
4 049.60
-0.66 %
DAX PTS
11 524.34
-0.26 %
Dowjones PTS
25 295.20
-0.59 %
7 145.31
+0.54 %
1.146
-0.41 %

Faille de sécurité chez Facebook : quoi ? combien ? comment ?

| AFP | 246 | Aucun vote sur cette news
La faille de sécurité dévoilée vendredi 28 septembre par Facebook concerne des dizaines de millions d'usagers dans le monde
La faille de sécurité dévoilée vendredi 28 septembre par Facebook concerne des dizaines de millions d'usagers dans le monde ( JOEL SAGET / AFP/Archives )

La faille de sécurité dévoilée vendredi 28 septembre par Facebook, qui lui vaut l'ouverture d'une enquête par le régulateur irlandais, concerne des dizaines de millions d'usagers dans le monde.

- Que s'est-il passé ?

Selon Facebook, des pirates ont profité de la conjonction de plusieurs bugs datant de juillet 2017 et nichés dans la fonctionnalité "Voir en tant que", qui permet de visualiser ce à quoi ressemble son propre profil quand il est vu par un autre utilisateur.

Dans certains cas, l'utilisation de cette fonction générait "par erreur" des clés numériques de connexion, appelées en anglais "access tokens", qui permettent de rester connecté sans avoir à rentrer son mot de passe à chaque fois.

Les pirates sont arrivés à s'emparer de ces clés, qui donnent accès aux comptes comme si on en était le titulaire.

Le 16 septembre, Facebook a observé une hausse inhabituelle du nombre de connexions et décidé d'enquêter. Le 25 septembre, Facebook découvre l'attaque et la faille.

Le groupe refuse de dire combien de temps a duré l'attaque.

- Quoi et pour quoi faire ?

Parce qu'ils pouvaient accéder aux comptes comme s'ils en étaient les propriétaires, les pirates pouvaient potentiellement en voir toutes les informations avec donc la possibilité de les modifier, de publier, de commenter...

Facebook dit ne pas savoir précisément ce à quoi ont accédé les pirates ni s'ils ont fait quelque chose de ces informations.

Selon les premières constatations, les pirates n'ont en tout cas pas semblé accéder aux messages privés ni poster des publications tandis que les mots de passe n'ont pas été compromis, pas plus que des informations bancaires.

Il arrive souvent que des pirates revendent des infos sur le "dark web", partie cachée d'internet dont le contenu n'est pas indexé par les moteurs de recherche.

- Qui est concerné ?

"Jusqu'à 50 millions de comptes" ont été directement touchés, c'est-à-dire que les pirates ont récupéré leurs clés d'accès. Selon la Commission européenne, il y a parmi eux environ 5 millions d'usagers européens.

Une incertitude demeure sur 40 autres millions de comptes, pour lesquels la fonctionnalité "Voir en tant que" a été utilisée au cours de l'année écoulée.

Les pirates ont aussi pu user du même subterfuge pour accéder aux comptes Messenger (messagerie détenue par Facebook) et Instagram (également possédé par le groupe) qui étaient reliés aux comptes Facebook touchés. En revanche, la troisième plateforme du groupe, la messagerie WhatsApp, n'a pas été affectée.

En théorie, les pirates ont aussi pu utiliser ces clés pour se connecter aux sites et applications extérieurs auxquels on peut se connecter via ses identifiants Facebook (fonction "Connectez-vous via Facebook"), ouvrant alors un accès potentiel à un nombre d'informations difficilement quantifiable. Toutefois, Facebook a assuré mardi qu'aucune indication ne montrait qu'ils avaient effectivement accédé à ces profils extérieurs.

- Les mesures prises ?

Le groupe dit avoir réparé la faille le 27 septembre au soir et prévenu le FBI, ainsi que le régulateur du secteur en Irlande, pays où se trouve son siège européen.

A partir du 27 au soir, le groupe a réinitialisé par précaution les "access tokens" des 90 millions de comptes touchés de façon certaine ou probable, ce qui a abouti à les déconnecter, obligeant les utilisateurs à se reconnecter manuellement. Ils ont aussi reçu un message sur leur fil d'actualités.

Facebook a suspendu "Voir en tant que".

- Que risque Facebook ?

Difficile de répondre à cette question, qui tourne autour de deux points et dépend d'une multitude de lois et de règlements: Facebook a-t-il mal protégé les données de ses clients ? A-t-il trop tardé à les en informer ?

Aux Etats-Unis, au niveau fédéral, c'est la Federal Trade Commission (FTC) qui est chargée de vérifier si les entreprises ont mal protégé les informations personnelles de leurs clients contre un piratage. Elle peut imposer des amendes.

Les données personnelles peuvent aussi être protégées par des lois au niveau des Etats, plus ou moins contraignantes. Tous les Etats obligent désormais à révéler les fuites de données.

Les autorités des Etats ou des particuliers peuvent intenter des actions en justice pour réclamer des dommages.

En Europe, depuis le RGPD introduit en mai, le règlement qui a renforcé la sécurité des données personnelles, les entreprises peuvent recevoir une amende allant jusqu'à 4% de leur chiffre d'affaires annuel mondial si elles ne respectent pas les règles, soit 1,6 milliard de dollars en ce qui concerne Facebook.

Le groupe semble en tout cas avoir respecté le délai européen de 72 heures maximum pour rendre publique une fuite de données.

 ■

Copyright © 2018 AFP. Tous droits de reproduction et de représentation réservés.

Toutes les informations reproduites dans cette rubrique (dépêches, photos, logos) sont protégées par des droits de propriété intellectuelle détenus par l'AFP. Par conséquent, aucune de ces informations ne peut être reproduite, modifiée, transmise, rediffusée, traduite, vendue, exploitée commercialement ou utilisée de quelque manière que ce soit sans l'accord préalable écrit de l'AFP. l'AFP ne pourra être tenue pour responsable des délais, erreurs, omissions, qui ne peuvent être exclus ni des conséquences des actions ou transactions effectuées sur la base de ces informations.

Votez pour cet article
0 avis
Note moyenne : 0
  • 0 vote
  • 0 vote
  • 0 vote
  • 0 vote
  • 0 vote

RETROUVEZ LES WEBINAIRES BOURSE DIRECT

Les Produits de rendement : découvrir un nouveau support d'investissement
Lundi 5 novembre de 18h00 à 18h30

Trader sur le CAC40 avec du levier
Mardi 6 novembre de 12h15 à 13h15

Les Différents Types d'Ordre de Bourse
Mardi 20 novembre de 12h30 à 13h30

CONTENUS SPONSORISÉS
À LIRE AUSSI SUR BOURSE DIRECT
Publié le 22/10/2018

Pour la conception des cuves d'un méthanier d'une capacité de 173 400 m3

Publié le 22/10/2018

                                                                                        …

Publié le 22/10/2018

Chiffre d'affaires du troisième trimestre 2018   Un trimestre très solide   Chiffre d'affaires: 411 millions d'euros Croissance organique de…

Publié le 22/10/2018

COMMUNIQUÉ DE PRESSE ACTIVITÉ DES NEUFPREMIERS MOIS DE 2018 Paris, le 22 octobre 2018 Klépierre, leader paneuropéen des centres commerciaux, annonce aujourd'hui son…

Publié le 22/10/2018

      Assemblée Générale Mixte de Worldline convoquée pour le 30 novembre 2018 en vue de la réalisation de l'acquisition de SIX Payment Services par…