violation de donnees
Produits et Services PRODUITS & SERVICES

Facebook nous donne plus de détails sur la dernière violation de données

La dernière violation de données de Facebook a été possible, grâce à la combinaison de 3 bugs qui ont permis à des cybercriminels d'exploiter la fonctionnalité "Voir en tant que" du réseau social.

Quelle est cette récente violation de données au niveau de Facebook ?

La violation de données a été annoncée par Facebook le 28 septembre 2018.

Voilà ce qu’il s’est passé…

Le réseau social dispose d’une fonctionnalité “Voir en tant que” qui vous permet de prévisualiser votre profil comme le verraient d’autres personnes.

Cette possibilité est censée être une fonctionnalité de sécurité qui vous aide à vérifier si vous partagez des données qui mériteraient de rester confidentielles.

Mais les cybercriminels ont découvert comment exploiter un bug (en fait, une combinaison de trois bugs différents), de sorte que, après s’être connecté en tant qu’utilisateur X et avoir affiché “Voir en tant queutilisateur Y, ces derniers sont en réalité devenus l’utilisateur Y !

Si l’utilisateur Y était connecté à Facebook à ce moment-là, même s’il n’était pas réellement actif sur le site, les cybercriminels ont pu récupérer le jeton d’accès à Facebook de l’utilisateur Y, leur donnant éventuellement accès à de nombreuses données concernant ce dernier.

Qu’est-ce qu’un jeton d’accès ?

Lorsque vous vous connectez à Facebook, vous devez entrer votre nom d’utilisateur et votre mot de passe et éventuellement un code d’authentification à deux facteurs.

À ce stade, les serveurs de Facebook envoient un “cookie” unique de données aléatoires (ce que l’on appelle dans le jargon un jeton d’accès) à votre navigateur ou à votre application pour indiquer que vous avez passé le processus d’identification avec succès et que vous pouvez accéder au compte.

Tant que vous restez connecté à Facebook, votre navigateur ou votre application envoie ce cookie de données aux serveurs de Facebook chaque fois qu’il souhaite interagir avec votre compte, évitant ainsi de vous connecter à nouveau.

Comme le déclare Facebook :

Les jetons d’accès sont l’équivalent des clés numériques qui permettent aux utilisateurs de rester connectés à Facebook afin qu’ils n’aient pas besoin de ressaisir leur mot de passe à chaque utilisation de l’application.  

En d’autres termes, un jeton d’accès à Facebook, ou à tout autre compte en ligne, est un peu comme la carte magnétique de la chambre d’hôtel qui vous ait remise, après avoir montré votre carte d’identité et votre carte de crédit durant votre enregistrement.

Une fois que vous avez prouvé votre identité et reçu une carte-clé, vous pouvez rapidement et facilement vous déplacer dans l’hôtel, utiliser les ascenseurs et déverrouiller votre chambre, vous n’avez pas besoin de sortir votre passeport à chaque fois.

NB : La différence entre un hôtel traditionnel et Facebook, comme Mark Stockley l’a expliqué dans notre podcast (à écouter ci-dessous), est que “dans le cas [de Facebook], vous ne payez pas pour l’hôtel et l’hôtel aimerait vraiment que vous restiez aussi longtemps que vous le désirez”.  

Devrais-je changer mon mot de passe ?

Après de nombreuses violations, notre conseil immédiat est souvent : “Modifiez votre mot de passe”.

Il s’agit d’une précaution courante lorsque les cybercriminels ont utilisé une base de données de mots de passe, même si les mots de passe n’étaient pas stockés en clair, directement lisibles, les attaquants pourraient, néanmoins, cracker un grand nombre de mots de passe en quelques jours, voire quelques semaines !

En d’autres termes, plus vous changez votre mot de passe rapidement, moins les cybercriminels seront en mesure de cracker votre compte dans un futur proche.

Mais dans cette violation de données concernant Facebook, un changement de mot de passe n’est pas nécessaire : les attaquants n’ont, en leur possession, que des jetons d’accès et n’ont accès à aucune base de données de mots de passe.

Un jeton d’accès à Facebook est une valeur aléatoire unique qui n’est générée qu’après que vous ayez saisi votre mot de passe, et les cybercriminels ne peuvent pas revenir en arrière, à savoir passer du jeton d’accès à votre mot de passe.  Si vous avez, tout de même, envie de changer votre mot de passe Facebook, ne vous arrêter surtout pas dans votre élan à cause de nous !

NB : Si vous n’utilisez pas encore de gestionnaire de mots de passe, c’est une bonne occasion d’essayer. Si vous avez l’habitude de choisir des mots de passe identiques ou similaires pour tous vos comptes, car ils sont plus faciles à mémoriser, regardez notre vidéo ci-dessous pour découvrir pourquoi cette idée est, en réalité, très mauvaise pour votre sécurité !  

Le 2FA aurait-il aidé ?

Votre jeton d’accès n’est généré que lorsque vous avez prouvé votre identité au niveau de Facebook, y compris la saisie de tous les codes d’authentification à deux facteurs (2FA) nécessaires.

Le jeton d’accès est utilisé justement pour que vous n’ayez plus à saisir de nouveaux codes 2FA avant la prochaine déconnexion de votre compte.

Malheureusement, activer le 2FA n’empêche pas ce violation de données.

Mais nous pensons toujours que vous devriez utiliser le 2FA chaque fois que vous le pouvez, car il sera alors plus difficile, pour les cybercriminels, de prendre le contrôle de vos comptes.

N’oubliez pas que les cybercriminels peuvent essayer de se connecter, comme vous, à leur guise et quand ils le souhaitent, et ce même si cette violation de données, ciblant les jetons d’accès, les a obligé à trouver une séquence de trois bugs liés entre eux, que personne n’avait encore repérés auparavant !

Combien de personnes ont été touchées ?

Lorsque Facebook a découvert pour la première fois que la violation de données avait eu lieu, il a décidé de supprimer les jetons d’accès de toutes les personnes ayant utilisé la fonctionnalité “Voir en tant que” au cours de l’année écoulée, par simple mesure de précaution.

Cela a conduit 90 000 000 utilisateurs à être déconnecté de force, même s’ils n’ont pas tous eu leurs jetons d’accès volés.

L’estimation conservatrice de départ, faite par Facebook, concernant les utilisateurs dont les jetons d’accès avaient été récupérés, était de 50 000 000.

Maintenant, l’entreprise déclaré que le nombre est probablement de 30 000 000.

Tous ces utilisateurs ont été ou seront contactés par Facebook.

Un jeton d’accès volé peut-il permettre à des cybercriminels d’accéder à mes autres comptes ?

L’une des plus grosses inquiétudes au moment de l’annonce de cette violation de données était : “Qu’en est-il des autres services en ligne auxquels je me connecte via mon compte Facebook ?”.

Si un cybercriminel possédait votre jeton d’accès Facebook, pourrait-il l’utiliser pour pénétrer dans d’autres services qui vous permettent d’utiliser l’authentification Facebook, par exemple des services Wi-Fi gratuits en passant par des comptes de carte de fidélité jusqu’aux services de réservation en ligne ?

La bonne nouvelle est que la réponse semble être “Non”.

Selon Facebook :

Cette attaque n’incluait pas Messenger, Messenger Kids, Instagram, WhatsApp, Oculus, Workplace, Pages, les paiements, les applications tierces, les comptes publicitaires ou de développeur.  

À quelles données Facebook les cybercriminels auraient-ils pu avoir accès ?

Concernant les 30 000 000 utilisateurs concernés :

  • 1 000 000 utilisateurs n’ont été victimes d’aucun accès malveillant à leur donnée Facebook.
  • 15 000 000 (maximum) ont été victimes d’un accès malveillant à leur nom, numéro de téléphone et email.
  • 14 000 000 ont été victimes d’un accès malveillant aux informations de contact et aux autres données de profil, notamment “le nom d’utilisateur, sexe, lieu/langue, la situation amoureuse, religion, ville d’origine, ville actuelle déclarée, date de naissance, les types d’appareils utilisés pour accéder à Facebook, la scolarité, l’emploi, les 10 derniers endroits où ils sont allés ou dans lesquels ils ont été tagués, [leur] site web, les personnes ou les pages qu’ils suivent et [leurs] 15 dernières recherches”.

Qui a lancé cette attaque ?

Nous ne le savons pas et pour l’instant, Facebook garde le silence sur cette question.

Ce genre de silence n’est ni suspect ni inhabituel, étant donné que cette violation de données fait l’objet d’une enquête non seulement de la part de Facebook, mais également de la part des services de police américains.

Comme Facebook l’explique, “nous coopérons avec le FBI, qui enquête activement et nous a demandé de ne pas divulguer les identités de ceux qui pourraient être à l’origine de cette attaque“.

N’est-il pas ironique d’être obligé de se connecter pour accéder au centre d’aide de Facebook ?

Oui. Et non !

Facebook ne peut pas simplement, sans vous authentifier au préalable, révéler ce qui s’est passé ou ne s’est pas passé au niveau de votre compte. Cela ne ferait qu’empirer les choses !

La bonne nouvelle, dans cette violation de données, est que la déconnexion et la reconnexion invalident votre ancien jeton d’accès et en génèrent un nouveau, fermant ainsi la porte aux éventuels cybercriminels.

NB : Les failles de sécurité exploitées par les attaquants ont été corrigées par Facebook en quelques jours. Par conséquent, ces derniers ne peuvent plus utiliser les mêmes astuces pour pénétrer de nouveau, au sein de votre compte, une fois que vous vous êtes déconnecté. 

Devrais-je fermer mon compte Facebook à cause de cette violation de données ?  

Nous ne pouvons pas répondre à cette question. C’est un choix que vous seul pouvez faire.

À notre avis, Facebook a bien réagi face à cet incident : l’entreprise a détecté la violation en utilisant ses propres systèmes de surveillance “just in case”, a réagi rapidement et ouvertement, a corrigé le faille rapidement et a enquêté et communiqué de manière franche.

Comme Mark Stockley l’a déclaré dans notre podcast à ce sujet : “Si vous n’aimez pas Facebook, vous avez des millions de raisons de ne pas l’utiliser et de ne pas vous engager avec ce réseau social, […] et je ne pense pas réellement que cette violation en soit une”.

Quel est le mot de la fin concernant cette violation ?

En matière de confidentialité, une règle simple s’applique quel que soit le service en ligne que vous utilisez.

En cas de doute, ne divulguez rien !


Billet inspiré de Facebook opens up about data breach details, sur Sophos nakedsecurity.