Faille Facebook : 50 millions de comptes piratés, les détails encore partiels

Entre les 27 et 28 septembre, 90 millions de comptes ont été déconnectés de Facebook. La conséquence d’une faille de sécurité issue de la combinaison de trois bogues. La portée de l’incident est encore mal cernée, même si rien n’aurait été – pour l’instant – volé selon Facebook.

La soirée de vendredi a été marquée par une annonce tonitruante de Facebook : la sécurité de 50 millions de comptes a été compromise par des pirates. Ils ont tous été déconnectés, ainsi que 40 millions de compte supplémentaires, pour faire bonne mesure.

L’impact de cette importante brèche serait pour l’instant limité. Mais ce bilan est temporaire : l’enquête de Facebook ne fait que commencer et de mauvaises nouvelles pourraient survenir dans les prochaines semaines.

Pour Facebook, le calendrier de cette attaque tombe très mal. Six mois à peine après le scandale Cambridge Analytica, l'entreprise est plongée dans les préparatifs des élections de mi-mandat aux États-Unis, prévues début novembre. Une échéance périlleuse pour l'entreprise, qui a perdu la confiance de bien des internautes après les manipulations de l'élection présidentielle de 2016, dernière en date outre-Atlantique.

En plus d’affronter une nouvelle crise publique, le réseau social pourrait subir des conséquences juridiques.

Comment fonctionne la faille ?

La faille résulte d’une conjonction de trois problèmes.

D’abord avec la fonction « Voir en tant que ». Elle permet (depuis longtemps), dans les paramètres de Facebook, de voir son propre profil  tels que le verraient les autres internautes. En principe, cette page est uniquement disponible en lecture, sans interactions. Malheureusement, le champ de saisie était actif en cas d’anniversaire, permettant alors de publier une vidéo.

Ensuite, avec l’envoi de vidéos justement. Le contrôle associé avait été remplacé en juillet 2017. Il contenait lui aussi un bug : la génération d’un jeton de sécurité ayant les mêmes permissions que l’application mobile Facebook.

En clair, en utilisant la fonction « Voir en tant que », il était possible d’utiliser l’envoi de vidéo pour souhaiter un bon anniversaire. Le jeton généré apparaissait alors dans le code HTML de la page et était, de fait, récupérable.

Champ d’action, exploitation et mesures de sécurité

Selon Facebook, les auteurs et l’origine de l’attaque sont inconnus. La brèche a été constatée le mardi 25 septembre et corrigée deux jours plus tard. Le lendemain, vendredi 28, la société communiquait pour exposer les détails du problème, après avoir averti le FBI (Federal Bureau of Investigation), le DHS (Department of Homeland Security), le Congrès américain et la DPC (Data Protection Commission), équivalent irlandais de la Cnil.

Elle aurait affecté directement 50 millions d’utilisateurs. Nom, prénom, adresse email ou encore genre font partie des informations qui ont pu être dérobées. Facebook assure qu’aucune information bancaire n’a été volée. Les comptes de Mark Zuckerberg et de la directrice d’exploitation Sheryl Sandberg ont été touchés.

Selon le réseau social, les premiers résultats de l’enquête semblent indiquer que ces données, bien qu’accessibles, n’ont en fait pas été récupérées. Les pirates, quels qu’ils soient, avaient également le pouvoir de publier du contenu au nom des personnes concernées, mais s’en seraient abstenus. L’investigation continue tout de même, et pourrait encore révéler de telles actions.

Les mesures prises par Facebook sont simples : les jetons ont tous été révoqués et les possesseurs des comptes touchés avertis. La révocation des jetons entraine l’obligation de se reconnecter sur chaque point d’accès, aussi bien dans les applications mobiles que le site classique dans un navigateur. Facebook ajoute que les utilisateurs n’ont pas besoin de changer leur mot de passe, car les identifiants eux-mêmes n’ont pas été menacés.

En outre, 40 millions de comptes supplémentaires sont affectés par la révocation des jetons. Ils n’ont a priori pas été contrôlés par les pirates, mais la fonction « Voir en tant que » y avait été utilisée récemment. Il faut ajouter aussi l’ensemble des services dans lesquels le compte Facebook a pu être utilisé comme identifiant de connexion.

Et du côté des services liés à Facebook ? WhatsApp n’est pas concerné, mais les comptes Instagram et Oculus éventuellement liés devront être « décrochés » de Facebook, puis réassociés. Si l’utilisateur le souhaite toujours.

Enfin, les problèmes détectés ont tous été décrits comme réparés, mais la fonction incriminée est temporairement désactivée, le temps que Facebook s’assure de sa solidité. En attendant, tant que la portée réelle de cette faille n’a pas été déterminée, le chapître est loin d'être clos.

Une pluie de critiques

C’est peu dire que l’incident tombe au plus mal pour Facebook. Les esprits sont déjà particulièrement échaudés par l’enchainement des polémiques, dont les deux principales restent l’utilisation détournée du réseau social pendant la campagne présidentielle de 2016 aux États-Unis et le scandale Cambridge Analytica.

Facebook, qui dispose actuellement d’une base colossale de 2,2 milliards de membres, a besoin de leur confiance. La firme se trouve à l’intersection entre son statut privé et ses responsabilités publiques en tant que plateforme quasi hégémonique.

Le problème de sécurité tombe donc au plus mal, d’autant que l’entreprise n’a plus de directeur de la sécurité. Alex Stamos a changé de poste et n’a pas été remplacé, Facebook préférant répartir des spécialistes de la sécurité dans ses différentes divisions.

L’inquiétude générale est donc particulièrement grande. Du côté de la Cnil irlandaise (DPC), notifiée par Facebook Ireland, on pointe la gravité de la vulnérabilité et le manque de détails dans le rapport envoyé. La DPC presse Facebook de  « clarifier la nature de la brèche et le risque pour les utilisateurs », insistant sur le caractère « urgent » de ces requêtes.

Au Royaume-Uni, l’ICO (Information Commissioner’s Office) se veut vigilant. Le commissaire James Dipple-Johnstone a ainsi indiqué dans un court communiqué : « Il est toujours de la responsabilité de l’entreprise d’identifier si des citoyens anglais sont touchés par une fuite de données et de prendre les mesures appropriées pour réduire tout dégât aux consommateurs. Nous mènerons des enquêtes avec Facebook et nos homologues étrangers pour établir la portée de la brèche ».

Aux États-Unis, la grogne est perceptible. Le sénateur démocrate Mark Warner assène sur Twitter : « C’est un nouveau sombre indicateur que le Congrès doit se lever et agir pour protéger la vie privée et la sécurité des utilisateurs de réseaux sociaux. Comme je l’ai déjà précédemment dit, l’ère de l’Ouest sauvage est terminée pour les réseaux sociaux ». Il ajoute que ces révélations sont un nouvel exemple des dérives quand un petit nombre de sociétés « peuvent accumuler autant de données personnelles […] sans mesures appropriées de sécurité ».

À la Federal Trade Commission (FTC), le commissaire Rohit Chopra a simplement indiqué « Je veux des réponses », après avoir retweeté un article de Reuters sur le sujet.

À New York, la procureure d’État générale, Barbara Underwood, a annoncé sur Twitter que la faille était examinée de près : « Nous examinons actuellement la brèche massive de Facebook. Les Newyorkais ont le droit de savoir si leurs informations sont protégées ».

En France, la Cnil ne s’est pas encore exprimée sur la faille. Elle a simplement lancé un rappel il y a quelques heures sur Twitter pour un article traitant de la sécurité des réseaux sociaux, et comment la renforcer. Les quatre étapes sont donc toujours les mêmes :

• activer la double-authentification chaque fois que c’est possible,
• désactiver les applications connectées,
• déconnecter les terminaux liés au compte
• se pencher sur les paramètres de confidentialité.

Interrogée sur le sujet, la Cnil nous répond avoir été « rapidement » avertie par son homologue irlandaise (le message a été diffusé à toute l’Europe). La Commission ajoute avoir été « l’une des premières autorités à se déclarer « concernée » pour prendre part à l’instruction de ce dossier dans le cadre de la coopération européenne ».

Toujours en France, le secrétaire d’État au Numérique, Mounir Mahjoubi, a réagi sur Radio J. Il note que la faille est « extrêmement complexe », avant de livrer sa pensée : « C’est une vraie construction, quelqu’un y a passé beaucoup de temps. Ça veut dire soit un génie, soit une organisation très structurée, soit (...) quelqu’un de l’intérieur ». Un membre du personnel ? Pourquoi pas.

Mahjoubi évoque également la piste d’un « grand pays ». Après tout, puisque la faille était loin d’être triviale, ne s’agirait-il pas de l’œuvre d’un groupe soutenu par une puissance étatique ?

Quant à la question de savoir si des utilisateurs français ont été touchés, la réponse est pour lui évidente, et pour cause : « J’ai fait partie des 90 millions de comptes qui ont été déconnectés d’urgence dans la journée d’avant-hier. Je pense donc avoir la preuve que des comptes français sont concernés ». Un point confirmé par la Cnil.

Crise publique et conséquences juridiques à prévoir

Le contrecoup pour Facebook risque d’être important. À travers les différentes polémiques ayant émaillé la vie du réseau social ces dernières années, plusieurs campagnes de désinscription ont été menées par différents particuliers ou groupes. Le mot d’ordre était toujours le même : fermez votre compte Facebook.

Une nouvelle crise de confiance risque donc d’éclater. D’autant que le 21 mars dernier, Mark Zuckerberg en personne avait pris la parole pour s’expliquer sur l’affaire Cambridge Analytica et s’était voulu aussi clair que rassurant : « Nous avons la responsabilité de protéger vos données, et si nous ne pouvons pas, nous ne méritons pas de vous servir ».

Mais outre la crise publique, l’entreprise pourrait faire face à différents organes de régulation à travers le monde, des enquêtes ayant déjà été ouvertes. La société pourrait également se retrouver devant les tribunaux.

Aux États-Unis, un recours collectif (class action) est déjà en marche. Il a été déposé devant la District Court for the Northern District of California par Carla Echavarria (Californie) et Derick Walker (Virginie).

Dans la plainte, on peut lire que Facebook est accusé de pratiques commerciales illégales, de négligence, de tromperie par dissimulation d’informations et de violation du Customer Records Act californien, pour défaut de protection sur les données personnelles.

Ils réclament des dommages pour l’ensemble des membres actuels et à venir du recours collectif, ainsi que des dommages-intérêts exemplaires (ou punitifs) et le paiement des frais engagés par les plaignants.

Et puisqu’il est question de défaut de protection des données, le RGPD (Règlement général de protection des données) pourrait affronter ici sa première grosse affaire.

En attendant, l’impact de l’affaire est déjà perceptible sur le cours de l’action Facebook. Vendredi, en clôture de Wall Street, le titre avait déjà perdu 2,6 % de sa valeur. Il pourrait continuer à dévisser, puisque l’enquête continue et que l’entreprise pourrait avoir des mauvaises nouvelles supplémentaires à annoncer dans les prochains jours. Pour les personnes touchées par la faille, l’attente risque d’être pénible.

Notez enfin que l’affaire risque de relancer les débats autour des systèmes SSO (Single Sign-On). Les infrastructures concentrées, de type Google et Facebook, permettant à de petits acteurs d’obtenir rapidement des méthodes sécurisées de connexion. Mais comme toujours avec le cloud, si l’un de ces gros acteurs rencontre un problème, le nombre de services touchés peut exploser.