La faille de sécurité découverte le 25 septembre par les ingénieurs de Facebook (NASDAQ: FB) a permis aux attaquants de prendre le contrôle direct des comptes d'utilisateurs. environ 50 millions d'entre eux pour être exact.
La dernière atteinte à la sécurité sur Facebook
En plus des 50 millions, Facebook a également déclaré qu'il y avait 40 millions de comptes potentiellement vulnérables. En tout état de cause, la société a fermé 90 millions de comptes pour éviter de nouveaux dégâts.
$config[code] not foundDans une mise à jour de sécurité, Facebook a admis que l'attaque avait pu exploiter l'interaction complexe de plusieurs problèmes dans son code. Cela découle d'un changement que la société a apporté à sa fonctionnalité de téléchargement de vidéos en juillet 2017 et qui affecte la fonctionnalité «Afficher en tant que».
Facebook a déclaré: «Les attaquants devaient non seulement trouver cette vulnérabilité et l'utiliser pour obtenir un jeton d'accès, mais ils devaient ensuite passer d'un compte à un autre pour voler plus de jetons."
Cette attaque n'aurait pas pu arriver à un pire moment pour Facebook. La société tente de renforcer sa sécurité avant les prochaines élections de mi-mandat, tout en tentant de se remettre du fiasco de Cambridge Analytica, dans lequel les données d'environ 87 millions d'utilisateurs ont été partagées avec une agence de conseil politique.
La vue comme caractéristique
La fonctionnalité Afficher en tant que permet aux utilisateurs de voir comment un profil ressemble à d'autres personnes.
Les attaquants ont pu exploiter trois failles ou bogues dans la fonction «Afficher en tant que». Dans la même mise à jour de sécurité, Pedro Canahuati, vice-président de l'ingénierie, de la sécurité et de la confidentialité, a répertorié ces défauts de la manière suivante:
- View As fournit de manière incorrecte l’opportunité de poster une vidéo.
- Une nouvelle version de l'utilitaire de téléchargement vidéo (l'interface qui serait présentée à la suite du premier bogue), introduite en juillet 2017, a généré de manière incorrecte un jeton d'accès doté des autorisations de l'application mobile Facebook.
- Lorsque le programme de téléchargement de vidéos est apparu dans View As, il a généré le jeton d’accès NON pour le visualiseur, mais pour celui-ci le regardait.
Facebook a déclaré avoir désactivé temporairement la fonctionnalité Afficher en tant qu'elle effectuait une vérification de la sécurité.
Tromper Facebook pour émettre des jetons d'accès
Avec cette vulnérabilité, les attaquants ont été en mesure de tromper Facebook en leur attribuant des jetons d'accès. Cela leur donnait accès aux comptes d'utilisateurs comme s'ils étaient l'utilisateur.
Ils avaient également accès aux services que l’utilisateur pouvait s’être enregistrés pour utiliser Facebook, tels que Airbnb, Spotify, Tinder ou d’autres applications et jeux.
Facebook a réinitialisé les jetons d’accès des 50 millions de comptes affectés ainsi que les 40 millions supplémentaires de comptes potentiellement vulnérables.
Si votre compte faisait partie des 90 millions touchés par cet incident, vous serez invité à vous reconnecter sur Facebook et sur les comptes associés.
Qui est responsable?
Lors d'une téléconférence (PDF), Guy Rosen, vice-président de la gestion des produits pour Facebook, a déclaré que la société avait informé les forces de l'ordre et collaborait avec le FBI.
Pour ce qui est des responsables, Rosen ajoute qu'il est difficile de savoir qui était derrière l'attaque, ajoutant: «Nous ne saurons peut-être jamais».
Image: Facebook
3 commentaires ▼
