La plateforme sociale a été victime d’une faille de sécurité touchant près de 50 millions de comptes Facebook piratés. 40 autres millions de comptes ont été réinitialisés par “mesure de précaution”.
Que s’est-il passé ?
Guy Rosen, Vice-Président Product Management de Facebook, a déclaré hier, que la faille de sécurité avait été découverte mardi 25 septembre 2018.
Les hackers ont exploité une vulnérabilité de la fonctionnalité “Voir en tant que” de Facebook pour voler des jetons d’accès, qui sont les clés qui vous permettent de rester connecté à Facebook, sans avoir à ressaisir votre mot de passe à chaque utilisation.
Rosen dit que la vulnérabilité est maintenant corrigée.
Nous avons réinitialisé les jetons d’accès de près de 50 millions de comptes Facebook piratés, dont nous savions qu’ils avaient été affectés, et ce pour protéger leur sécurité. Nous prenons également les précautions nécessaires pour réinitialiser les jetons d’accès à 40 millions de comptes supplémentaires qui ont fait l’objet d’une consultation de type “Voir en tant que” au cours de l’année écoulée.
Les personnes concernées devront désormais se reconnecter à Facebook et à toutes les applications qui utilisent le login Facebook.
Facebook a également désactivé la fonction “Voir en tant que” pendant ses investigations. Cette fonction vous permet de voir ce qu’un ami particulier, ou des personnes avec lesquelles vous n’êtes pas ami, peuvent voir au niveau de votre profil, comme par exemple d’anciennes photos de profil ou des publications.
Il est encore tôt pour le dire, mais Facebook affirme que la faille de sécurité a été créée lorsque les développeurs ont modifié la fonctionnalité d’uploading de vidéos en juillet 2017. Les attaquants ont ensuite volé un jeton d’accès au niveau d’un compte, puis ont utilisé ce compte pour basculer vers d’autres comptes et voler davantage de jetons.
Facebook dit qu’il ne sait pas encore si des comptes ont été utilisés abusivement ou si certaines informations liées à ces derniers ont été consultées.
Mais attention, Facebook utilise ces jetons d’accès pour vous authentifier. Par conséquent, si vous êtes concerné, vous devez partir du principe que les cybercriminels ont accès à toutes vos données, à savoir tout ce que vous pouvez voir, lire, télécharger ou modifier lorsque vous vous connectez à Facebook.
Les bugs sérieux concernant Facebook ne sont pas nouveaux, nous en signalons tout le temps, mais nous les découvrons généralement par le biais du programme “bug bounty” de l’entreprise.
Facebook ne sait pas qui est à l’origine de cette attaque ni pourquoi une telle attaque a été lancée contre la plateforme sociale, mais quelle que soit la personne concernée, elle est sans aucun doute passée à côté d’une prime “bug bounty” très généreuse !
Quoi faire ?
Si vous avez été déconnecté de force par Facebook, la déconnexion forcée aura automatiquement invalidé les jetons d’accès existants pour votre compte.
Rosen dit que personne n’a besoin de changer ses mots de passe.
NB : Les jetons d’accès sont générés aléatoirement après la validation du mot de passe par Facebook lors de la connexion. Il n’y a aucun moyen de remonter jusqu’à votre mot de passe à partir d’un jeton d’accès.
Que vous soyez ou non touché, vous pouvez choisir, par mesure de précaution, de vous déconnecter de toutes vos sessions Facebook, comme décrit ci-dessous.
Le processus peut être assez compliqué, veuillez donc lire attentivement les instructions ci-dessous.
SE DÉCONNECTER DE TOUTES LES SESSIONS FACEBOOK
SE DÉCONNECTER COMPLÈTEMENT VIA VOTRE NAVIGATEUR
- Depuis votre page d’accueil Facebook, cliquez sur le menu “flèche vers le bas” (▼) dans le coin supérieur droit.
- Cliquez sur l’avant-dernière option Paramètres pour accéder à la page des Paramètres.
- Cliquez sur Sécurité et connexion en haut à gauche de la page.
- Consultez la liste des périphériques dans la rubrique Vos connexions (vous devrez peut-être cliquer sur ▼ Voir Plus pour afficher la liste complète).
Si vous avez de nombreuses sessions répertoriées, vous trouverez l’option Se déconnecter de toutes les sessions au bas de la liste. Cela fait apparaître une fenêtre avec un bouton Déconnexion. Sinon, vous pouvez vous déconnecter des sessions individuelles en cliquant sur l’icône à trois points verticaux à droite et en choisissant Déconnexion pour chacune. Si vous pensez que les sessions affichées dans votre liste de connexion ne sont pas connectées à partir d’un appareil personnel, suivez les instructions de Facebook en cliquant sur Renforcement de la sécurité ou sur Ce n’est pas vous ?.
Notez que même après l’utilisation de la fonction Déconnexion de toutes les sessions, votre session en cours, de manière assez surprenante, s’affichera comme étant la Session actuelle.
- Pour vous déconnecter complètement, cliquez à nouveau sur la “flèche vers le bas du menu” (▼).
- Sélectionnez l’option Déconnexion située tout en bas de la liste.
Après cette dernière étape, vous devriez être redirigé vers la page de connexion principale de Facebook.
SE DÉCONNECTER COMPLÈTEMENT VIA L’APPLICATION SUR VOTRE TÉLÉPHONE
- Dans l’application Facebook, appuyez sur l’icône “trois lignes” horizontales dans le coin inférieur droit.
- Faites défiler jusqu’à Paramètres et vie privée, puis appuyez pour ouvrir le sous-menu.
- Appuyez sur Paramètres pour ouvrir la page des Paramètres.
- Dans la rubrique Sécurité, appuyez sur Sécurité et connexion.
- Regardez la liste des périphériques dans la rubrique Vos connexions.
À partir de là, suivez la partie appropriée de la procédure “via votre navigateur” décrite ci-dessus pour vous déconnecter de toutes les sessions, à l’exception de la session en cours qui sera toujours affichée comme étant la Session actuelle.
- Pour vous déconnecter complètement, appuyez à nouveau sur l’icône “trois lignes”.
- Sélectionnez l’option Déconnexion située tout en bas de la liste.
Une fenêtre pop-up vous demandera “Êtes-vous sûr de vouloir vous déconnecter ?”, si vous choisissez Déconnexion, l’application devrait vous rediriger vers l’écran de connexion principal de Facebook.
Billet inspiré de Big Facebook data breach : 50 million accounts affected, sur Sophos nakedsecurity.