La semaine dernière, les ingénieurs de Facebook ont découvert une faille dans le code du réseau social. Selon un communiqué officiel, cette faille de sécurité a été exploitée par des pirates informatiques, affectant près de 50 millions de comptes d’utilisateurs.

Selon Facebook, ces hackers ont utilisé la fonctionnalité « Aperçu de mon profil » du site. Pour ceux d’entre vous qui ne l’auraient jamais utilisée, cette fonction vous permet d’afficher vos propres pages comme les verrait un autre utilisateur. Cliquez sur « Aperçu en tant que » et Facebook vous montrera ce qu’un ami ou un collègue peut voir.

L’équipe de sécurité de Facebook a découvert que cette faille avait permis aux pirates de voler des « tokens » ou jetons d’accès. Cette phrase vous semble familière ? Il y a une bonne raison. Ces mêmes jetons étaient au cœur de l’attaque massive qu’a subi Yahoo! et qui a touché plus d’un milliard d’utilisateurs.


Qu’est-ce qu’un jeton d’accès ? Facebook le décrit comme « l’équivalent des clés numériques qui permettent aux utilisateurs de rester connectés à Facebook pour qu’ils n’aient pas à ressaisir leur mot de passe à chaque fois qu’ils utilisent l’application. »

Pratique ? Absolument. Mais si un individu vole votre clé, c’est pour lui qu’elle devient pratique. Celui qui détient la clé d’un compte en possède le contrôle total. Et ces hackers viennent d’en voler des dizaines de millions.

De telles clés auraient pu leur permettre d’accéder à bien plus que Facebook. Si vous vous êtes connectés à un autre site Web en utilisant le bouton « Connexion via Facebook », cet autre compte aurait également pu être compromis.

Selon un porte-parole, l’entreprise a désactivé l’accès à la fonctionnalité responsable de la faille pour empêcher tout accès non autorisé. Facebook a très rapidement réagi pour informer les utilisateurs de cet incident. Les 50 millions de jetons d’accès concernés ont été réinitialisés (ce qui revient à changer les serrures pour rendre une clé volée inutile). En plus de cela, l’entreprise a mis à jour 40 millions de jetons liés à des comptes ayant utilisé la fonctionnalité « Aperçu de mon profil » au cours de l’année.

La part de comptes piratés sur la base d’utilisateurs totale est en fait assez petite. Au deuxième trimestre 2018, le nombre total s’élevait à de près de 2,3 milliards. Un peu plus de 2 % des utilisateurs ont été affectés. Mais 50 millions de personnes, ce n’est pas rien. Ce qui rend un problème comme celui-ci aussi préoccupant, c’est que lorsqu’une personne découvre et exploite une faille dans un code informatique, aussi petite soit-elle, des millions d’individus sont touchés.

Selon certaines rumeurs, un hacker au chapeau blanc taïwanais avait affirmé qu’il projetait de supprimer le compte Facebook de Mark Zuckerberg. Il avait même prévu de le faire en direct sur internet. Mais le pirate a annulé ses plans quelques heures plus tard. Facebook n’a pas établi de lien entre la faille de sécurité et le pirate au chapeau blanc.

L’enquête se poursuit, Facebook ne sait pas encore si les données des comptes concernés ont été utilisées, ou si des actions non autorisées ont été effectuées.