HIGH-TECH - Facebook a révélé vendredi qu'une faille de sécurité avait compromis 50 millions de comptes. La firme ne sait pas d'où vient l'attaque mais le PDG Mark Zuckerberg a assuré que la faille a été réparée. La France n'est pas épargnée. Si vous êtes concerné, vous avez peut être reçu une demande de reconnexion.
Facebook a annoncé vendredi que 50 millions de comptes avaient été compromis cette semaine, suite à une faille de sécurité. Celle-ci a permis à des pirates de prendre le contrôle de profils d'utilisateurs.
Les équipes du réseau social ont annoncé avoir prendre "ce problème extrêmement au sérieux", a écrit le groupe dans un communiqué, ajoutant "prendre des actions immédiates". Le PDG, Mark Zuckerberg, a assuré que la faille avait été réparée jeudi en fin d'après-midi. "Des comptes français sont concernés", a assuré le secrétaire d'Etat chargé du numérique, Mounir Mahjoubi, n'excluant pas une malversation au sein même de Facebook.
Lire aussi
Entrée en vigueur du RGPD : Facebook perd des millions d’utilisateurs actifs en Europe
Lire aussi
Scandale Facebook : voici toutes les nouveautés pour mieux sécuriser votre compte
Trois failles en même temps
On savait déjà que la faille touchait le jeton d'accès de Facebook, ce petit bout de code que le site vous décerne quand vous vous connectez avec vos identifiants, pour éviter que vous n'ayez à vous ré-authentifier à chaque fois que vous ouvrez la page web ou l'application mobile. Les comptes compromis par les pirates ne l'avaient pas été par leurs identifiants, mais justement par le jeton de connexion.
Dans la nuit de vendredi à samedi, Facebook a apporté des précisions sur ce qui s'était exactement passé, sur les failles utilisées par les pirates. Le premier bug touche une fonction que vous ne connaissiez peut-être pas, celle qui permet de voir votre profil comme si vous étiez un autre utilisateur, une fonction "Aperçu du profil en tant que" d'ordinaire utilisée pour vérifier que ses paramètres de confidentialité fonctionnent bien.
Si vous voyez votre propre page comme si vous étiez un utilisateur X, vous ne pourrez évidemment pas publier de contenu en son nom... à l'exception très précise de vidéos postées dans un message d'anniversaire, un trou de sécurité pas si grave, sinon qu'à son tour le logiciel qui permet d'envoyer la vidéo avait un autre bug : lui vous décernait un jeton de connexion, mais pas le vôtre, plutôt celui de l'utilisateur X. À partir de là, les pirates ont pu d'ami en ami se connecter à nombre de comptes.
Votre compte a-t-il été déconnecté ?
Si vous êtes concerné, votre compte a été automatiquement déconnecté par Facebook qui vous demande de taper à nouveau vos identifiants et mot de passe. Plus de 50 millions d'utilisateurs de Facebook ont ainsi été contraints de se déconnecter de leurs comptes, ce vendredi, une mesure de sécurité très courante pour les comptes compromis. Idem pour les 40 millions d'utilisateurs dont le nom a été utilisé dans l'année écoulée pour avoir un "Aperçu du profil en tant que..", fonction qui a d'ailleurs été désactivée, le temps que Facebook s'assurer qu'aucun bug ne s'y cache encore. Le réseau social a précisé ne connaître ni l’origine, ni l'identité des personnes derrière cette attaque.
L'ampleur de cette attaque n'a pas été évaluée non plus : la société en est aux premières étapes de son enquête. La société revendique près de 2,2 milliards d'utilisateurs mensuels dont 377 millions en Europe et 241 millions en Amérique du Nord.