Facebook a publié un important billet d’information sur la sécurité des comptes. Un nouvel avertissement peut apparaître en effet sur la version en ligne du réseau social, pour prévenir que le compte est peut-être victime d’une attaque soutenue par un État. De quoi alimenter la psychose.
Les SSA, pour « state-sponsored attacks », sont des attaques dirigées contre un individu ou une structure à l’aide d'outils particulièrement puissants. L’un des cas les plus emblématiques est le malware Stuxnet, utilisé pour pirater des sites d’enrichissement de l’uranium en Iran, afin d’en perturber le programme nucléaire. C’est la société russe Kaspersky qui avait révélé les origines de Stuxnet : les États-Unis et Israël avaient participé à sa conception.
Évidemment, ces attaques soutenues par des gouvernements sont rares et ont des cibles très spécifiques. Elles présentent des caractéristiques très évoluées et font appel à des techniques « de pointe » aboutissant le plus souvent à des APT (Advanced Persistent Threat), autrement dit des installations capables de passer inaperçues pendant plusieurs mois, le temps que les malwares en place réalisent leur travail de sape et/ou de vol d’informations.
Facebook, en indiquant que la sécurité de ses utilisateurs est « primordiale », précise dans un communiqué qu’il peut avertir les utilisateurs de telles attaques. Le réseau social promet un message de sécurité dès lors qu’il détectera qu’un compte fait l’objet d’une attaque dont les caractéristiques rappellent ce genre d’atteinte. Cet avertissement ne peut provenir que sur la version web complète du site, quand elle est utilisée sur un ordinateur dans un navigateur classique.
Comme on peut le constater, le message invite immédiatement à sécuriser davantage le compte. On ne peut pas nier que la teneur du texte a de quoi alimenter la psychose. Facebook propose dès lors à l’utilisateur de mettre en place les approbations de connexion, qui permettront au réseau d’envoyer un code par SMS en cas de connexion depuis un autre endroit. Une authentification à deux facteurs en somme. Pour information, on peut la trouver dans les options de sécurité sur le site.
Fait notable, Facebook est totalement muet sur la manière dont il s’y prend pour déterminer que telle attaque est directement ou indirectement gouvernementale. L’utilisateur devra donc lui témoigner toute sa confiance, les yeux fermés. En outre, cette annonce va nécessairement alimenter une certaine psychose très bénéfique pour le réseau social. Voilà d’un côté des États qui menacent, espionnent, épient, et de l’autre, déboule ce valeureux Facebook protecteur, qui incidemment demande aux utilisateurs de lui communiquer leur numéro de téléphone, préalable à l’approbation par SMS.
Cette mesure intervient au mieux pour l’entreprise américaine, écornée bruyamment par la récente décision Schrems. La justice européenne a pulvérisé le safe harbor américain en prenant justement pour levier les capacités de la NSA à renifler les données sensibles de Facebook. Bref, plus de numéros de téléphone en poche et une nouvelle couche de vernis marketing après le vent de la CJUE. Facebook est tout sauf un zéro social.
