Discussion :

[Stéphane le calme]

Les hackers qui ont attaqué Facebook se seraient fait passer pour une société de marketing,
l'hypothèse d'une manœuvre politique est écartée

Le 25 septembre 2018, Facebook a appris que des personnes malveillantes avaient exploité une faille de sécurité due à l’interaction complexe de trois bogues au sein de son système pour récupérer des jetons d’accès. À la manière d’une clé numérique, les jetons peuvent servir à demander certaines informations par l’intermédiaire de sa plateforme. Les attaquants auraient pu accéder à des applications telles que Spotify, Instagram et des centaines d'autres applications permettant aux utilisateurs de se connecter à leurs systèmes via Facebook.

Les bogues logiciels étaient particulièrement délicats pour une entreprise fière de son ingénierie: les deux premiers ont été introduits par un outil en ligne destiné à améliorer la confidentialité des utilisateurs. Le troisième a été introduit en juillet 2017 par un outil destiné à télécharger facilement des vidéos d'anniversaire.

Concernant l’outil destiné à améliorer la confidentialité des utilisateurs, il s’agit de la fonctionnalité « Aperçu du profil en tant que », proposée par Facebook en juillet 2017. Elle permet aux utilisateurs de voir comment est affiché le profil à certaines catégories d’utilisateurs (amis, ne figurant pas dans la liste d’amis, personnes spécifiques dans sa liste d’amis). La société ne sait pas encore quand le piratage a eu lieu, mais elle a déclaré avoir ouvert une enquête après avoir découvert une activité inhabituelle le 16 septembre.

L’entreprise assure avoir agi rapidement pour sécuriser le site et avoir entrepris une enquête pour déterminer si des informations de Facebook ont été consultées et identifier le nombre d'utilisateurs qui ont été touchés :

Pour protéger nos utilisateurs pendant la conduite de l’enquête, nous avons invalidé les jetons d'accès de près de 90 millions de comptes potentiellement affectés par cette vulnérabilité. Inutile donc de modifier votre mot de passe :

• Depuis le 28 septembre, nous avons avisé les utilisateurs qui ont été déconnectés, expliqué pourquoi nous avions fait cela et partagé ce que nous savions de l'attaque à ce moment-là. Lorsque nous avons partagé cette réponse initiale, l'enquête était encore en cours et nous ne savions pas encore si quelqu'un avait eu accès aux informations Facebook des utilisateurs. ;
• Nous avons maintenant déterminé qu'entre le 14 et le 27 septembre, les personnes malveillantes ont utilisé les jetons d'accès pour obtenir certaines informations de compte Facebook sur notre plate-forme. Ces jetons d'accès ont depuis été invalidés, ce qui empêche tout accès ultérieur aux informations de compte Facebook.
• Facebook a confirmé la semaine dernière que les pirates informatiques avaient eu accès aux comptes d’une trentaine de millions d’utilisateurs et qu’ils avaient dérobé des données de 29 millions d’entre eux, soit la pire cyberattaque jamais subie par la firme américaine.

Guy Rosen, VP of Product Management, a déclaré :

« Nous avons assisté à un pic d'activité inhabituel qui a débuté le 14 septembre 2018 et nous avons ouvert une enquête. Le 25 septembre, nous avons déterminé qu'il s'agissait en fait d'une attaque et avons identifié la vulnérabilité. Au bout de deux jours, nous avons corrigé la vulnérabilité, mis fin à l’attaque et sécurisé les comptes des personnes en réinitialisant les jetons d’accès pour les personnes potentiellement exposées. Par précaution, nous avons également désactivé l'option “Afficher en tant que”. Nous coopérons avec le FBI, qui enquête activement et nous a demandé de ne pas discuter des personnes qui pourraient être à l'origine de cette attaque.

« Nous savons maintenant que moins de personnes ont été touchées que nous le pensions. Selon nous, sur les 50 millions de personnes dont les jetons d'accès ont été affectés, environ 30 millions se sont fait voler leurs jetons ».

Mais qui est derrière cette attaque ?

Citant des personnes informées de l’enquête interne menée par le réseau social, le Wall Street Journal a indiqué que les auteurs de la cyberattaque dont Facebook a été victime fin septembre sont des hackers qui se présentaient comme une société de marketing numérique.

Selon le Wall Street Journal, l’enquête interne menée par Facebook a permis d’établir qu’il ne s’agissait pas de hackers soutenus par un Etat mais de pirates informatiques ayant un objectif pécuniaire et qui se sont présentés comme une société de marketing numérique.

Les antécédents de ces hackers étaient connus de l’équipe de sécurité de Facebook, ajoute le journal, citant des sources internes à la société.

Source : Wall Street Journal

Voir aussi :

Un hacker dit qu'il va supprimer en direct la page Facebook de Zuckerberg, dans une attaque prévue pour ce dimanche
Avez-vous donné à Facebook votre numéro de téléphone pour plus de sécurité et de confidentialité? Il l'a utilisé pour des annonces publicitaires
Google et Facebook s'engagent à suivre le code européen de bonnes pratiques contre la désinformation, Bruxelles attend de voir les résultats
Brian Acton, co-fondateur WhatsApp, explique pourquoi il est parti de Facebook et a abandonné 850 millions de $
Les deux cofondateurs d'Instagram démissionnent de leurs postes chez Facebook, quelques mois après le départ du cofondateur de WhatsApp

[hotcryx]

Parfois je me demande si certaines entreprises n'ont pas laissé intentionnellement les portes ouvertes pour se faire cambrioler et accuser les voleurs!

Rappelez-vous d'Hillary Clinton qui avait utilisé ses serveurs non sécurisés pour éviter d'être surveillée par le FBI !

Après on accuse la Russie

[Stéphane le calme]

Facebook devrait faire l'acquisition d'une importante entreprise de cybersécurité,
selon un rapport qui cite des sources internes

e 25 septembre 2018, Facebook a appris que des personnes malveillantes avaient exploité une faille de sécurité due à l’interaction complexe de trois bogues au sein de son système pour récupérer des jetons d’accès. À la manière d’une clé numérique, les jetons peuvent servir à demander certaines informations par l’intermédiaire de sa plateforme. Les attaquants auraient pu accéder à des applications telles que Spotify, Instagram et des centaines d'autres applications permettant aux utilisateurs de se connecter à leurs systèmes via Facebook.

Les bogues logiciels étaient particulièrement délicats pour une entreprise fière de son ingénierie: les deux premiers ont été introduits par un outil en ligne destiné à améliorer la confidentialité des utilisateurs. Le troisième a été introduit en juillet 2017 par un outil destiné à télécharger facilement des vidéos d'anniversaire.

Concernant l’outil destiné à améliorer la confidentialité des utilisateurs, il s’agit de la fonctionnalité « Aperçu du profil en tant que », proposée par Facebook en juillet 2017. Elle permet aux utilisateurs de voir comment est affiché le profil à certaines catégories d’utilisateurs (amis, ne figurant pas dans la liste d’amis, personnes spécifiques dans sa liste d’amis). La société ne sait pas encore quand le piratage a eu lieu, mais elle a déclaré avoir ouvert une enquête après avoir découvert une activité inhabituelle le 16 septembre.

L’entreprise assure avoir agi rapidement pour sécuriser le site et avoir entrepris une enquête pour déterminer si des informations de Facebook ont été consultées et identifier le nombre d'utilisateurs qui ont été touchés.

Pour protéger nos utilisateurs pendant la conduite de l’enquête, nous avons invalidé les jetons d'accès de près de 90 millions de comptes potentiellement affectés par cette vulnérabilité. Inutile donc de modifier votre mot de passe :

• Depuis le 28 septembre, nous avons avisé les utilisateurs qui ont été déconnectés, expliqué pourquoi nous avions fait cela et partagé ce que nous savions de l'attaque à ce moment-là. Lorsque nous avons partagé cette réponse initiale, l'enquête était encore en cours et nous ne savions pas encore si quelqu'un avait eu accès aux informations Facebook des utilisateurs. ;
• Nous avons maintenant déterminé qu'entre le 14 et le 27 septembre, les personnes malveillantes ont utilisé les jetons d'accès pour obtenir certaines informations de compte Facebook sur notre plate-forme. Ces jetons d'accès ont depuis été invalidés, ce qui empêche tout accès ultérieur aux informations de compte Facebook.
• Facebook a confirmé la semaine dernière que les pirates informatiques avaient eu accès aux comptes d’une trentaine de millions d’utilisateurs et qu’ils avaient dérobé des données de 29 millions d’entre eux, soit la pire cyberattaque jamais subie par la firme américaine.

Un achat pour mieux gérer les problèmes de sécurité ?

Facebook est encore sous le choc de ce piratage qui a exposé des millions de comptes d'utilisateurs de sa plateforme. Mais l’entreprise voudrait rebondir de la meilleure manière : faire l’acquisition d’une entreprise. En effet, selon le quotidien The Information qui s’appuie sur des sources en interne, Facebook aurait accéléré ses projets d'achat d'une « grande » société de cybersécurité et a déjà proposé des offres à « plusieurs » sociétés. Bien qu’aucun nom n’a filtré, Zuckerberg et son équipe achèteraient probablement une société dont les logiciels sont susceptibles de s’intégrer à services existants, tels que des outils permettant de signaler les tentatives de piratage ou de sécuriser des comptes individuels.

Il n'est pas certain que Facebook soit proche d'un accord, même s'il pourrait clôturer un achat d'ici la fin de 2018. The Information a souligné que Facebook s’est refusé à tout commentaire.

Une acquisition pourrait aider Facebook à renforcer ses défenses, à améliorer son expertise et à réduire les risques d'erreur de codage mettant en péril des millions d'utilisateurs. Il pourrait également s'agir de la perception qui sous-tend tout mouvement de ce type. Entre le piratage et les incidents antérieurs tels que le scandale Cambridge Analytica, la confiance de Facebook s’est égrainée. Un achat important indiquerait que l'entreprise envisage sérieusement d'améliorer sa sécurité, même si la technologie récemment achetée n'est que partiellement utile.

Source : The Information

Voir aussi :

Facebook ne vous aurait pas dit toute la vérité : la caméra de son « Portal » de domicile collectera vos données, à des fins de ciblage publicitaire
Facebook aurait dissimulé une surestimation de 150 à 900 % de la durée moyenne de visionnage des annonces vidéo, la firme est accusée de fraude
La plupart des américains ne savent pas que Facebook possède WhatsApp, alors qu'ils cherchent à prendre le contrôle de leur vie privée en ligne
Facebook va vérifier et limiter la diffusion des infox se rapportant au processus de vote pour protéger les élections US des ingérences électorales
Envisageriez-vous de supprimer votre compte Facebook ? Cela vous prendra désormais 30 jours

[Olivier Famien]

Facebook aurait été averti à plusieurs reprises sur la faille de sécurité qui a conduit à la plus grande violation de données de son histoire,
des employés ont des remords et se sentent coupables estimant qu’ils auraient pu empêcher l’attaque, mais Facebook continue de clamer son innocence

En 2018, Facebook a enregistré la plus grosse fuite de données de son histoire. Environ 90 millions de comptes ont été piratés en exploitant trois bogues liés à la fonctionnalité « Aperçu en tant que ».

Premièrement : la fonctionnalité « Aperçu du profil en tant que » est censée permettre aux utilisateurs de visualiser leur profil en tant que quelqu’un d’autre. Cependant, pour un type de compositeur (la zone qui permet de poster du contenu sur Facebook), plus spécifiquement la version qui permet aux gens de souhaiter un bon anniversaire à leurs amis, cette fonctionnalité a incorrectement permis de poster une vidéo.

Deuxièmement : une nouvelle version de l’uploader de vidéo (l’interface présentée en raison du premier bogue), introduite en juillet 2017, a généré de manière erronée un jeton d’accès qui a les permissions de l’application mobile de Facebook.

Troisièmement : quand l’uploader vidéo apparaît à partir de « Aperçu du profil en tant que », il a généré un jeton d’accès non pas pour vous, mais pour l’utilisateur que vous avez cherché.

Après que l’incident soit parvenu au grand public, cela a déclenché une vague de réactions dans le monde comme des poursuites judiciaires, une enquête du FBI et une conférence de presse donnée par directeur général de Facebook, Mark Zuckerberg, qui a déclaré : « C’est un problème de sécurité très grave, et nous le prenons très au sérieux ». Un groupe d’utilisateurs américains a par ailleurs formé un recours collectif contre Facebook et l’a accusé de négligence et de rupture de contrat en ne protégeant pas les informations privées qu’il a incité ses utilisateurs à lui fournir au cours de la dernière décennie. Les plaignants ont soutenu que Facebook n’avait rien fait pour empêcher la vulnérabilité, car il craignait que cela crée des problèmes techniques et nuise aux revenus. « Facebook a préféré l’argent à la sécurité », ont-ils allégué.

Les avocats de Facebook ont réfuté ces accusations en avançant que le piratage résultait d’une combinaison « imprévue » et « très obscure » de trois problèmes distincts qui étaient « complètement inconnus » du réseau social et ont décrit toute suggestion selon laquelle Facebook avait ignoré les causes de l’attaque comme étant « sans fondement ».

Toutefois, les documents juridiques fournis lors du procès montrent que l’entreprise avait été avertie à maintes reprises par ses propres employés ainsi que par des personnes extérieures d’une faille qui pouvait être massivement exploitée par des pirates. Neuf mois avant la survenue du piratage en septembre 2018, des employés de Facebook ont interpellé leurs responsables, mais leurs alertes sont restées lettre morte. Facebook avait à plusieurs reprises omis de répondre de manière adéquate aux préoccupations soulevées dès décembre 2017 par ses propres ingénieurs qui craignaient que les jetons d’accès soient « faciles » à exploiter par les criminels. C’est pourquoi lorsque l’incident est survenu, certains employés ont commencé à parler de leur sentiment de « culpabilité » et de leur « souffrance », car ils savaient que l’attaque « aurait pu être évitée ».

Selon les documents publiés lors du procès, des employés ont déploré que les modifications techniques qui auraient pu empêcher le piratage de se produire n’aient jamais été achevées. Un autre employé aurait déclaré que les avertissements étaient « presque tous ignorés ». Dans les messages internes entre employés, l’on peut également lire une personne qui écrit : « Ça fait mal de savoir que si nos trucs avaient été faits plus rapidement [ou] dans un meilleur état, cela aurait pu être évité... c’est quelque chose sur quoi j’ai travaillé, mais je n’ai pas fini. La culpabilité a vraiment décidé de me ronger sur ce coup ». Son collègue a répondu avec une émoticône au visage triste.

Bien que ces éléments viennent montrer avec plus d’évidence la part de responsabilité de Facebook dans l’occurrence de l’attaque qui a exposé environ 90 millions de comptes d’utilisateurs, le réseau social a discrètement accepté le mois dernier, et plus précisément le 17 janvier, de régler l’affaire sans admettre aucune responsabilité ni de payer de dommages et intérêts, bien qu’il consente à payer les frais juridiques des plaignants, tels que déterminés par le tribunal. Selon les termes du règlement, Facebook est tenu de certifier que les failles qui ont conduit à l’attaque ont été corrigées et de présenter un plan de sécurité destiné à prévenir de futures attaques. Ce plan sera vérifié par un évaluateur indépendant chaque année pendant cinq ans. Le règlement de Facebook doit encore être approuvé par le juge américain William Alsup. Cependant, d’autres plaignants peuvent toujours s’opposer à ce règlement. En attendant, le réseau social continue de contester « vigoureusement » d’autres poursuites en dehors des États-Unis, qu’il décrit comme « sans fondement ».

Source : USA Today, The Telegraph

Et vous ?

Selon vous Facebook était-il informé de la faille avant qu’elle ne soit exploitée par les pirates ?

Pensez-vous que le réseau social ait fait preuve de mauvaise foi en déclarant qu’il n’était pas informé de la faille avant son exploitation ?

Quelles solutions préconisez-vous pour éviter de telles violations de données sur cette plateforme ?

Voir aussi

Facebook surpris en train de bloquer les histoires d’AP et de Guardian sur sa violation massive de données, touchant 50 millions d’utilisateurs
L’UE ouvre une enquête après la faille de sécurité révélée par Facebook qui a compromis près de 50 millions de comptes Facebook
Plus de 267 millions de noms et de numéros de téléphone provenant de Facebook ont été divulgués en ligne, selon des chercheurs en sécurité
Facebook pourrait écoper d’une amende de 1,63 Md $ US pour le piratage des 50 millions de comptes utilisateurs dont il a été récemment victime
Facebook utiliserait les données personnelles des utilisateurs comme monnaie d’échange pour accorder des privilèges spéciaux à certaines entreprises

[Jonathan muswil]

paroles de mark zuckerberg software is the eating