Alors que Java est régulièrement au centre de problèmes de sécurité ces derniers mois, voilà que Facebook informe sur son blog d’une brèche dans ses défenses, à cause justement d’une faille Java. Selon la firme, aucune donnée personnelle n’a été dérobée.
Un malware ramené au sein des locaux
Facebook a publié une note ce week-end pour informer ses utilisateurs qu’une brèche de sécurité avait eu lieu dans les locaux de la société. Il ne s’agit pas d’une attaque directe dans le sens où des personnes malintentionnées n’ont pas volontairement pris pour cible Facebook en vue de dérober des données. Il s’agit en fait d’une chaine d’évènements qui a conduit un malware jusque dans les locaux.
Le mois dernier, plusieurs employés de Facebook ont navigué sur le site web d’un développeur. La version mobile du site était en fait contaminée par un malware. Le site lui-même contenait plusieurs méthodes pour détecter d’éventuelles failles à exploiter sur les machines des visiteurs. Une fois l’une d’elles trouvée, le malware pouvait s’installer. La cellule Sécurité de Facebook précisait en outre que les portables des employés étaient parfaitement à jour et utilisait un antivirus possédant les dernières définitions.
De retour dans les locaux, le malware a fini par être détecté. Facebook indique que les autorités ont été prévenues et qu’une enquête interne a commencé. Dans les journaux DNS, l’équipe a fini par trouver une entrée suspecte. Après analyse du malware, du site mobile du développeur et du domaine présent dans les journaux, Facebook a fini par déterminer que la faille exploitée résidait dans Java. Une faille inconnue et donc déjà exploitée : l’information a été remontée dans la foulée à Oracle.
Une faille inconnue dans Java
La faille était critique et donc particulièrement dangereuse. Exploitée, elle permettait à un code donné de « sortir » de la sandbox, autrement dit de l’espace sécurité dans lequel tout code Java est exécuté. Conséquence, une action pouvait obtenir des privilèges supérieurs. Le signalement a eu lieu il y a plusieurs semaines, et Oracle a d’ailleurs été prompt à réagir car le patch correctif est apparu le 1er février. Il est d’ailleurs depuis diffusé dans les mises à jour récentes de Java.
Facebook précise qu’elle n’est pas la seule société à avoir été attaquée de cette manière. D’autres entreprises ont été touchées par la même méthode, et les détails trouvés durant l’enquête ont été partagés.
La firme précise surtout une information, sans doute d’ailleurs la plus importante : aucune donnée personnelle n’a été volée. La phrase apparaît d’ailleurs en gras dans le billet de Facebook : « Nous n’avons trouvé aucune preuve que des données des utilisateurs ont été compromises ». Une indication suffisamment claire pour rassurer les utilisateurs devant ce type de problème.
Enfin, Facebook rappelle que toute nouvelle information au sujet d’une faille potentielle peut être envoyée au programme Bug Bounty.
