Site icon Sophos News

Faille de sécurité : 50 millions de comptes Facebook piratés !

comptes facebook pirates

La plateforme sociale a été victime d’une faille de sécurité touchant près de 50 millions de comptes Facebook piratés. 40 autres millions de comptes ont été réinitialisés par “mesure de précaution”.

Que s’est-il passé ?

Guy Rosen, Vice-Président Product Management de Facebook, a déclaré hier, que la faille de sécurité avait été découverte mardi 25 septembre 2018.

Les hackers ont exploité une vulnérabilité de la fonctionnalité “Voir en tant que” de Facebook pour voler des jetons d’accès, qui sont les clés qui vous permettent de rester connecté à Facebook, sans avoir à ressaisir votre mot de passe à chaque utilisation.

Rosen dit que la vulnérabilité est maintenant corrigée.

Nous avons réinitialisé les jetons d’accès de près de 50 millions de comptes Facebook piratés, dont nous savions qu’ils avaient été affectés, et ce pour protéger leur sécurité. Nous prenons également les précautions nécessaires pour réinitialiser les jetons d’accès à 40 millions de comptes supplémentaires qui ont fait l’objet d’une consultation de type “Voir en tant que” au cours de l’année écoulée.

Les personnes concernées devront désormais se reconnecter à Facebook et à toutes les applications qui utilisent le login Facebook.

Facebook a également désactivé la fonction “Voir en tant que” pendant ses investigations. Cette fonction vous permet de voir ce qu’un ami particulier, ou des personnes avec lesquelles vous n’êtes pas ami, peuvent voir au niveau de votre profil, comme par exemple d’anciennes photos de profil ou des publications.

Il est encore tôt pour le dire, mais Facebook affirme que la faille de sécurité a été créée lorsque les développeurs ont modifié la fonctionnalité d’uploading de vidéos en juillet 2017. Les attaquants ont ensuite volé un jeton d’accès au niveau d’un compte, puis ont utilisé ce compte pour basculer vers d’autres comptes et voler davantage de jetons.

Facebook dit qu’il ne sait pas encore si des comptes ont été utilisés abusivement ou si certaines informations liées à ces derniers ont été consultées.

Mais attention, Facebook utilise ces jetons d’accès pour vous authentifier. Par conséquent, si vous êtes concerné, vous devez partir du principe que les cybercriminels ont accès à toutes vos données, à savoir tout ce que vous pouvez voir, lire, télécharger ou modifier lorsque vous vous connectez à Facebook.

Les bugs sérieux concernant Facebook ne sont pas nouveaux, nous en signalons tout le temps, mais nous les découvrons généralement par le biais du programme “bug bounty” de l’entreprise.

Facebook ne sait pas qui est à l’origine de cette attaque ni pourquoi une telle attaque a été lancée contre la plateforme sociale, mais quelle que soit la personne concernée, elle est sans aucun doute passée à côté d’une prime “bug bounty” très généreuse !

Quoi faire ?

Si vous avez été déconnecté de force par Facebook, la déconnexion forcée aura automatiquement invalidé les jetons d’accès existants pour votre compte.

Rosen dit que personne n’a besoin de changer ses mots de passe.

NB : Les jetons d’accès sont générés aléatoirement après la validation du mot de passe par Facebook lors de la connexion. Il n’y a aucun moyen de remonter jusqu’à votre mot de passe à partir d’un jeton d’accès.

Que vous soyez ou non touché, vous pouvez choisir, par mesure de précaution, de vous déconnecter de toutes vos sessions Facebook, comme décrit ci-dessous.

Le processus peut être assez compliqué, veuillez donc lire attentivement les instructions ci-dessous.

SE DÉCONNECTER DE TOUTES LES SESSIONS FACEBOOK 

SE DÉCONNECTER COMPLÈTEMENT VIA VOTRE NAVIGATEUR

Si vous avez de nombreuses sessions répertoriées, vous trouverez l’option Se déconnecter de toutes les sessions au bas de la liste. Cela fait apparaître une fenêtre avec un bouton Déconnexion. Sinon, vous pouvez vous déconnecter des sessions individuelles en cliquant sur l’icône à trois points verticaux à droite et en choisissant Déconnexion pour chacune. Si vous pensez que les sessions affichées dans votre liste de connexion ne sont pas connectées à partir d’un appareil personnel, suivez les instructions de Facebook en cliquant sur Renforcement de la sécurité ou sur Ce n’est pas vous ?.  

Notez que même après l’utilisation de la fonction Déconnexion de toutes les sessions, votre session en cours, de manière assez surprenante, s’affichera comme étant la Session actuelle.

Après cette dernière étape, vous devriez être redirigé vers la page de connexion principale de Facebook.

SE DÉCONNECTER COMPLÈTEMENT VIA L’APPLICATION SUR VOTRE TÉLÉPHONE

À partir de là, suivez la partie appropriée de la procédure “via votre navigateur” décrite ci-dessus pour vous déconnecter de toutes les sessions, à l’exception de la session en cours qui sera toujours affichée comme étant la Session actuelle.

Une fenêtre pop-up vous demandera “Êtes-vous sûr de vouloir vous déconnecter ?”, si vous choisissez Déconnexion, l’application devrait vous rediriger vers l’écran de connexion principal de Facebook.


Billet inspiré de Big Facebook data breach : 50 million accounts affected, sur Sophos nakedsecurity.

Exit mobile version