Quelques recommandations après le plus grand piratage de l’histoire de Facebook.

La semaine dernière, Facebook a annoncé avoir identifié « un problème de sécurité touchant près de 50 millions de comptes ». Cette vulnérabilité, qui existe depuis juin 2017, permettait aux pirates d’exploiter la fonctionnalité « Voir en tant que » afin de « voler des jetons d’accès Facebook, utilisables ensuite pour s’approprier les comptes des utilisateurs ».

En d’autres termes, 50 millions de comptes, soit environ 2 % de la base d’utilisateurs du site, auraient pu être piratés relativement facilement, et certains l’ont certainement été. Facebook n’a pas encore publié de compte-rendu complet au sujet de cette brèche mais il s’agit clairement du plus grand problème de sécurité qu’ait jamais connu la plateforme.

Facebook a déconnecté de leurs comptes les 50 millions d’utilisateurs concernés, ainsi que 40 millions d’autres, qui ont accédé à la fonction « Voir en tant que » durant l’année passée. Une fois reconnectés, les utilisateurs ont été informés par une notification des raisons pour lesquelles Facebook avait réinitialisé leur code d’accès.

Que vous ayez été touché ou non, le moment est venu pour les 2,3 milliards d’utilisateurs actifs du réseau social de prendre quelques mesures de sécurité.

Sécurisez votre compte Facebook

1. Changez votre mot de passe Facebook.
   Sur PC, connectez-vous à votre compte, cliquez sur la flèche orientée vers le bas, située dans le coin supérieur droit, puis rendez-vous dans « Paramètres » > « Sécurité et connexion » > « Modifier le mot de passe ». Utilisez un mot de passe suffisamment complexe et unique.
2. Déconnectez-vous de Facebook sur tous vos appareils et navigateurs.
   Cette manipulation s’effectue également en allant dans « Paramètres » > « Sécurité et connexion ». Cliquez ensuite sur « Appareils sur lesquels vous êtes connectés ».
3. Configurez l’authentification à deux facteurs.
   À nouveau dans « Paramètres » > « Sécurité et connexion », cliquez sur « Authentification à deux facteurs ». Activez cette option. Les experts F-Secure vous recommandent également d’utiliser l’application d’authentification.
4. Configurez des alertes pour les « identifiants non reconnus ».

Dans « Paramètres » > « Sécurité et connexion », cliquez sur « Recevoir les alertes sur les connexions non reconnues ».

5. Pour plus de confidentialité, désactivez les applications, les sites Web et les jeux.
   Cela restreindra vos activités sur Facebook, mais limitera également la probabilité que la plateforme partage vos données avec des tiers. Rendez-vous dans « Paramètres » > « Applications et sites Web » > « Applications, sites Web et jeux » > « Modifier ».

Vue d’ensemble

Toutes ces recommandations sont importantes, mais elles ne vous auraient pas protégé contre ce type de piratage. En effet, les jetons d’accès offrent certaines possibilités aux utilisateurs mais aussi aux hackers, qui peuvent les exploiter comme des vulnérabilités.

« Les access tokens – ou jetons d’accès – exposés constituent une forme d’authentification alternative que les utilisateurs peuvent générer afin que les applications puissent accéder à leurs données », explique William Knowles, consultant chez MWR – une société F-Secure. « Ces jetons d’accès ne nécessitent généralement pas d’authentification multifactorielle car ils sont généralement utilisés par des applications automatisées, sans intervention humaine. »

Avec les jetons, les pirates disposaient d’un accès limité aux informations privées des utilisateurs… et pas seulement sur Facebook. Les hackers ont peut-être réussi à accéder à divers sites utilisant les jetons de Facebook pour se connecter notamment à Instagram, Tinder ou Airbnb. Pour le moment, aucun preuve n’a encore mis en évidence ce type de piratage mais des enquêtes sont toujours en cours.

« Cette fonctionnalité de Facebook, qui inspirait pourtant confiance, a peut-être donné aux pirates un très large accès aux données clients. Facebook n’a toutefois pas encore dévoilé l’étendue de cet accès », précise William Knowles.

William Knowles vante toutefois les mérites du programme de primes aux bogues de Facebook, une pratique consistant à mobiliser la communauté de la cyber sécurité dans son ensemble, afin de réduire la surface d’attaque des sites en ligne.

« Ce type d’initiative doit toutefois rester associé aux pratiques traditionnelles de la cyber sécurité. Il reste essentiel de recourir à des process de validation – via des évaluations techniques – à différents stades du cycle de développement, afin de réduire au minimum la probabilité de présence de vulnérabilités importantes. »

La vie privée a son importance

Cette brèche a également son importance dans la mesure où il s’agit de l’une des plus importantes à avoir été annoncées depuis l’entrée en vigueur du RGPD, nouveau règlement européen.

« Facebook encourt une amende colossale en raison de l’atteinte à la protection des données, mais la décision des autorités tiendra compte des efforts continus de la plateforme à identifier et corriger les vulnérabilités avant qu’elles n’aient d’impact sur les utilisateurs finaux ; et ces efforts sont considérables », explique William. « Répétons également qu’à ce stade, Facebook n’a pas encore dévoilé le degré d’exposition des données concernées par cette vulnérabilité. »

En matière de cyber sécurité, prenez toujours les précautions de base qui s’imposent, mais pensez également qu’il est impossible d’éliminer tous les risques. Lorsque vous utilisez un service gratuit – y compris une boîte mails en ligne comme Gmail -, n’oubliez pas : personne ne se souciera plus que vous de votre propre sécurité.

Il pourrait être sage de garder tout ce que vous souhaitez garder privé (informations relatives à votre entreprise, communications sensibles, photos privées) loin de Facebook ou de tout service gratuit.