Facebook a annoncé n'avoir trouvé aucune preuve que des attaquants avaient utilisé des jetons (ou tokens) d'accès de compte volés sur d'autres sites Web ou applications et qui permettent aux utilisateurs d'accéder à leurs comptes en utilisant la connexion Facebook.
Ceci fait suite à l’annonce par le réseau social, le vendredi 28 septembre dernier, qu'une brèche avait permis à des attaquants d’obtenir les tokens de connexion des comptes d'au moins 50 millions d'utilisateurs en exploitant une vulnérabilité dans la fonction « View As » (ou « Afficher en tant que », selon la langue du profil). En réponse, Facebook a révoqué les jetons non seulement sur ces comptes, mais il a également déconnecté 40 millions de personnes supplémentaires dont les comptes avaient été identifiés comme étant à risque. Une grande partie des préoccupations suscitées par l'incident découlent du risque que les jetons volés puissent permettre d’accéder non seulement aux comptes Facebook des utilisateurs, mais aussi à leurs comptes sur de nombreux autres sites qui utilisent la connexion via Facebook.
« Nous avons maintenant analysé nos journaux pour toutes les applications tierces installées ou connectées pendant l'attaque que nous avons découverte la semaine dernière. Cette enquête n'a jusqu'à présent trouvé aucune preuve que les attaquants aient accédé à des applications à l'aide de la connexion Facebook », peut-on lire dans la mise à jour de sécurité publiée par le réseau social mardi soir.
Selon des chercheurs de l'Université de l'Illinois à Chicago, pas moins de 42 000 sites utilisent la connexion Facebook. Ceci nous permet de comprendre aisément les inquiétudes quant aux potentielles implications de cette brèche, au-delà du réseau social. Parmi ces sites, la inclut les géants de leur domaine respectif, tels que Spotify, Tinder, AirBnb, et Instagram, qui appartient à au réseau social visé. Tinder, pour sa part, a affirmé dans une déclaration relayée par Axios, qu'elle n'avait trouvé « aucune preuve suggérant que des comptes aient été consultés sur la base des informations limitées que Facebook a fournies. »
Dans sa dernière mise à jour, Facebook a également déclaré que les développeurs de sites qui utilisent les kits de développement de logiciels officiels de Facebook ou qui vérifient régulièrement le statut des jetons d'accès des utilisateurs « étaient automatiquement protégés lorsque nous réinitialisons les tokens d'accès des utilisateurs ». Pour les cas où les développeurs n'utilisent pas les devkits de Facebook, le réseau social est en train de construire un outil qui leur permettrait « d'identifier manuellement les utilisateurs de leurs applications qui pourraient avoir été affectés, afin qu'ils puissent les déconnecter. »
— Data Protection Commission Ireland (@DPCIreland) October 1, 2018
Entre temps, Politico rapporte que Facebook s’apprêterait à faire l'objet d'une enquête officielle – qui pourrait potentiellement mener à de lourdes sanctions. En effet, le Règlement général sur la protection des données (RGPD) de l'UE donne aux citoyens européens des droits importants en matière de protection de leurs données personnelles. Cette enquête se concentrerait sur la question de déterminer si Facebook « a mal géré les données des personnes d'une manière qui a permis à un pirate d'accéder aux profils en ligne de millions d'utilisateurs de Facebook », selon le site.
L'enquête serait menée par la Commission irlandaise de protection des données (ou DPC, pour Data Protection Commission), qui est l'autorité de contrôle de la protection de la vie privée qui supervise Facebook dans l'UE. La DPC a écrivait lundi sur Twitter que moins de dix pour cent des 50 millions de personnes touchées par l'incident vivent dans l'UE. Facebook compte 370 millions d'utilisateurs actifs par mois en Europe.
Facebook a déclaré que l’entreprise travaille « avec les régulateurs, y compris la Commission irlandaise de protection des données, pour partager des données préliminaires sur la question de sécurité de vendredi », et qu'elle prévoit publier bientôt plus de détails sur la localisation des personnes potentiellement affectées. L'entreprise fait déjà l'objet d'un recours collectif en Californie pour cette violation.
L'enquête de Facebook sur la brèche étant toujours en cours. Nous vous conseillons donc d'être particulièrement prudent en ce qui concerne votre compte sur le célèbre réseau social ou tout autre service en ligne qui y est lié. Cela est vrai même si vous n'étiez pas l'une des victimes de la brèche et quel que soit l'endroit où vous vivez dans le monde.
Se déconnecter et se reconnecter à son compte est assez simple et permet de réinitialiser votre clé d'accès. Prenez également un moment pour revoir vos paramètres de sécurité, en particulier la section Où vous êtes connecté(e) (ou Where you’re logged in si votre profil est en anglais).