Discussion :

[Olivier Famien]

Facebook achèterait les identifiants piratés et vendus sur le dark web
pour prévenir leur utilisation sur sa plateforme, bonne pratique ou approche à abandonner ?

La recrudescence des attaques pousse les entreprises à s’entourer de toutes les mesures possibles pour garantir l’intégrité de leur système. Facebook qui est une plateforme fédérant plus d'un milliard d’utilisateurs prend à cœur ces menaces et a depuis longtemps mis en place plusieurs outils de sécurité afin de tenir hors de son système les personnes non autorisées qui désirent y avoir accès.

Pour cela, le réseau social a développé par exemple l’authentification à deux facteurs, des alertes en cas de connexion dans un endroit autre que celui qui est habituellement recensé, des alertes en cas de non-reconnaissance d’une tentative et bien d’autres choses encore. Toutefois, eu égard à la grande cible que représente Facebook en raison des grandes quantités de données qu’elle brasse, la firme annonce de nouvelles mesures pour protéger ses utilisateurs.

Alex Stamos, le chef de la sécurité de Facebook a expliqué lors d’un sommet qui a eu lieu récemment à Lisbonne au Portugal que « la réutilisation des mots de passe est la première cause de préjudice sur Internet ». En effet, lorsque des pirates parviennent à subtiliser des données sur une plateforme, dans la majeure partie des cas, ces données se retrouvent sur le dark web (une sorte de marché noir du web accessible avec des configurations, logiciels ou accès spécifiques).

Et comme de nombreux utilisateurs utilisent le même mot de passe sur plusieurs sites, celui qui acquière ces identifiants mis en vente peut non seulement avoir accès aux données du site sur lequel ces mots de passe ont été piratés, mais pourra également accéder à des comptes utilisateurs sur d’autres sites où ces mêmes identifiants ont été utilisés.

Pour anticiper de tels scénarios, Stamox aurait informé lors de la récente conférence que Facebook achète également les identifiants piratés et vendus sur le dark web. L’objectif n’est pas d’étendre les agissements de ces tiers malveillants, mais plutôt de comparer ces identifiants piratés avec sa base de données interne afin de voir si ces identifiants bien que provenant d’un autre site ne pourraient pas être utilisés pour avoir accès au compte d’un utilisateur sur la plateforme Facebook.

En acquérant également ces données volées, l’entreprise fait un croisement des mots de passe faibles (12345 ou password) issus de la base de données piratée avec les données de ses utilisateurs. Dans un cas comme dans l’autre, si l’entreprise constate des possibilités de réutilisation des mots de passe piratés pour accéder aux comptes de sa plateforme ou encore détecte des mots de passe faibles utilisés sur sa plateforme, alors elle envoie une notification à l’utilisateur afin de changer de mot de passe.

En outre, si ces mesures n’ont pas empêché qu’un tiers malveillant prenne en otage votre compte Facebook après l’avoir réinitialisé, un des moyens qui aurait été mis en œuvre par l’entreprise est de permettre à vos amis proches d’effectuer la demande de récupération de compte en votre nom.

Il faut souligner que ce n’est pas la première fois que Facebook annonce qu’elle parcourt le dark web à la recherche d’identifiants volés sur d’autres sites et qui pourraient être utilisés sur sa plateforme pour accéder à certains comptes. En 2014, le réseau social a annoncé qu’il parcourait avec son algorithme différents sites sur lesquels sont publiés les identifiants piratés et faisait une comparaison avec les données de sa base de données. Lorsqu’une correspondance était établie entre les identifiants piratés et ceux des comptes de sa plateforme, il le notifiait à l’utilisateur à la prochaine connexion et amenait ce dernier à changer de mot de passe. Mais pour cette fois, en plus de parcourir les sites, Facebook achèterait directement les bases de données volées provenant du marché noir afin d’améliorer la protection des utilisateurs.

Cependant, là où beaucoup de personnes trouvent louable cette démarche qui sort des sentiers battus, pour certains, elle contribue à financer les activités illégales de ces personnes et donc devrait être abandonnée. Et vous quel est votre avis ?

Source : Fox News

Et vous ?

Que pensez-vous de cette approche ?

Pensez-vous que Facebook devrait abandonner cette pratique ? Ou plutôt continuer afin d’améliorer la sécurité des utilisateurs ?

Voir aussi

Belgique : Facebook remporte le Big Brother Award 2016, un prix visant à attirer l'attention des gens sur les violations de la vie privée

Forum Actualités, Wiki Developpez.com, Débats Best of, FAQ Developpez.com

[Shuty]

Même si dans le principe je n'adhère pas trop car sa donne raison au hackers, je trouve l'initiative très honnête d'un point de vue utilisateur du produit.
Si je devais trancher, je dirais que je suis favorable à cette initiative.

[earhater]

Pareil, financer ça n'est pas forcément bon car ça pérennise les activités des pirates mais d'un point du vue utilisateur c'est vraiment pas mal

[Florian_PB]

D'un côté c'est une mauvaise idée car ça incite les hackers à continuer leurs méfaits mais d'un autre côté c'est louable de leur part de vouloir protéger la sécurité des utilisateurs donc je leur donne raison.

[Aiekick]

Est ce légal d’acheter des données vendus pas des pirates ? même si ce sont ses données ?

[fabien29200]

Comme les autres, je suis partagé.

D'un côté, ça finance les pirates et ils continueront.

Bien sûr, d'un autre côté, ça leur coûte énormément moins cher de racheter les données aux pirates que de faire la une de la presse pour piratage.
Il n'y a qu'à voir les dégâts chez Yahoo ou Sony.
Peut-être aussi que ça leur permet d'investiguer sur comment les pirates ont eu accès à ses données.

[JackJnr]

100% pour.

De toutes façons les identifiants finiront très certainement par trouver preneur. Si en plus les données se retrouvent sur le dark web à cause de fb (ce que ne dit pas l'article et ce que je n'affirme pas non plus, car je crois au sacro-saint pebcak) ça me semble être normal.

[Squisqui]

Est ce légal d’acheter des données vendus pas des pirates ? même si ce sont ses données ?

Ce sont avant tout les données de l’utilisateur final. Je serais tenté de dire non.
Trouverais-tu acceptable que ton voisin achètes tes identifiants potentiellement piratés pour t'annoncer que tes identifiants ont été potentiellement piratés ? Si oui, Cool, il pourra connaitre ton compte facebook, materiel.com, meetic, etc...
Bien sûr, il faut un retour sur investissement. Les données achetées serviront bien évidemment à affiner le profilage des produits Facebook.

Bien sûr, d'un autre côté, ça leur coûte énormément moins cher de racheter les données aux pirates que de faire la une de la presse pour piratage.
Il n'y a qu'à voir les dégâts chez Yahoo ou Sony.

Ce n'est pas du tout la même chose. D'après l'article, les données achetées ne proviennent pas de Facebook. Si quelqu'un cracke leur service et aspire les données qui vont bien, ils feront quand même la une.

Peut-être aussi que ça leur permet d'investiguer sur comment les pirates ont eu accès à ses données.

Un magicien ne révèle jamais ses secrets. Pour un vendeur, ce genre d'information n'a évidemment pas de prix.

[glad33bx]

Le problème est que rien ne garanti que le pirate ne vendra pas les données plusieurs fois...

Donc il vaut mieux bannir ce genre de démarche

[Andarus]

Le problème est que rien ne garanti que le pirate ne vendra pas les données plusieurs fois...

Donc il vaut mieux bannir ce genre de démarche

J'imagine que dès qu'ils obtiennent les données, ils demandent à leur utilisateurs de changer leur mot de passe.

[JackJnr]

100% pour.

De toutes façons les identifiants finiront très certainement par trouver preneur. Si en plus les données se retrouvent sur le dark web à cause de fb (ce que ne dit pas l'article et ce que je n'affirme pas non plus, car je crois au sacro-saint pebcak) ça me semble être normal.

Je m'autoquote juste pour dire que cela n'est valable que dans le cas où les données concernées sont celles de Facebook. Si elles concernent mon compte Steam, AdultFriendFinder LinkedIn je préfère au mieux être averti, mais en aucun cas qu'elles soient rachetées par facebook.

Quant à l'argument les pirates les revendront plusieurs fois, ben, tant pis.

[Haseo86]

Je trouve ça à la fois stupide et paresseux.

Stupide parce que ça encourage inévitablement les pirates à recommencer, puisque même les entreprises "honnêtes" les soutiennent financièrement.

Paresseux parce que c'est tellement plus facile que de réfléchir à des moyens d'éduquer leurs utilisateurs.

Encore une fois Facebook mise sur la stupidité des internautes, et le règlement des problèmes à coups de chèques.

[Zamentur]

A mon sens c'est illégal. C'est comme acheté une carte bleue volée...
Surtout que dans les bases qu'ils achètent, il doit y avoir des utilisateurs qui n'utilisent pas Facebook. (moi par exemple)

[Clément Derouet]

L'intention est louable, mais il faudrait qu'ils arrêtent. Cela ne fait que rentabiliser encore plus le marcher des comptes piratés, et donc inciter les membres de ce genre de trafiques à continuer.
Personnellement, même si ce n'est pas tout à fait la même chose, ça me rappelle le scandale de Google qui payerai Adblock pour laisser passer des pubs. Dans les deux cas, ils financent leur propre perte.

[malikibadolo]

pour ce qui est de ma part c'est ilegal

[ddoumeche]

Ne pas les racheter n'empêche nullement ces affreux hacker de continuer à agir, donc oui le fait d'acheter ces identifiants est clairement plus morale.

Ne pas le faire serait irresponsable surtout quand on gagne des milliards sur le dos des données personnelles des mêmes utilisateurs.

[Francois_C]

Mouais. Dans un monde gouverné par la loi du profit à court terme, qui vit donc en-dehors de toute morale, ce n'est pas plus mal qu'autre chose.
Pas plus mal que Google qui m'embête en me notifiant chaque fois que je me contacte avec mon smartphone ou mon ordinateur portable plutôt qu'avec mon fixe alors que j'ai un mot de passe impossible à retenir et plutôt difficile à trouver, et Microsoft qui me force à changer tous les trois mois tout en interdisant les mots de passe de plus de 16 caractères.