Facebook : des données de 29 millions de comptes récupérées par les pirates

15 octobre 2018 à 08h45
12
Facebook piratage

Facebook a récemment communiqué des détails concernant la cyberattaque qui aurait conduit au piratage de près de 50 millions de comptes de la plateforme sociale.

Il y a quelques semaines, le groupe annonçait avoir subi une attaque informatique d'une envergure sans précédent.

Hier, le géant américain a rendu publiques des informations sur cette attaque, par le biais de sa Newsroom.

Une vulnérabilité en provenance de 3 différents bugs

Facebook commence en indiquant tout d'abord que la vulnérabilité utilisée par les pirates était présente sur le réseau social depuis juillet 2017. « Les pirates ont exploité une vulnérabilité du code de Facebook qui existait entre juillet 2017 et septembre 2018. Celle-ci était le résultat d'une interaction complexe de trois bogues logiciels distincts et a eu un impact sur « Voir en tant que », une fonctionnalité qui permet aux utilisateurs de voir à quoi ressemble leur propre profil pour quelqu'un d'autre. Elle permettait de voler des jetons d'accès Facebook, que les pirates pouvaient ensuite utiliser pour s'approprier les comptes des utilisateurs. Les jetons d'accès sont l'équivalent des clés numériques (token) qui permettent aux utilisateurs de se connecter à Facebook sans avoir à saisir leur mot de passe à chaque fois qu'ils utilisent l'applicatio »n.


La découverte de la faille

Le réseau social explique ensuite la façon dont il s'est aperçu du problème, notamment en observant un pic d'activité inhabituel : « Nous avons été témoins d'un pic d'activité inhabituel qui a commencé le 14 septembre 2018, et nous avons démarré une enquête. Le 25 septembre, nous avons déterminé qu'il s'agissait bien d'une attaque, puis nous avons identifié la vulnérabilité. En deux jours, nous avons mis fin à la faille, stoppé l'attaque et sécurisé les comptes des personnes en réinitialisant les jetons d'accès pour les personnes potentiellement exposées ».

Facebook indique également qu'après avoir compris d'où venait le problème, la fonction "voir en tant que" a été désactivée.

Près de 30 millions de comptes effectivement touchés

Bien que les premières communications évoquaient près de 50 millions de comptes piratés, Facebook explique qu'il n'y en aurait finalement eu "que" 30 millions.

Puis vient le moment de l'explication concernant l'attaque elle-même, c'est-à-dire la méthode que les pirates ont utilisée afin de s'approprier les fameux "jetons d'accès".

"Les pirates contrôlaient déjà un ensemble de comptes, qui étaient connectés à des amis Facebook. Ils ont utilisé une technique automatisée pour passer d'un compte à l'autre afin de pouvoir voler les jetons d'accès de ces amis, et pour les amis de ces amis, et ainsi de suite, soit environ 400 000 personnes".

Une méthode qui a permis aux pirates de pouvoir charger les profils des personnes touchées, mais par le biais de l'option "voir en tant que".

En d'autres termes, ils n'ont alors eu accès qu'aux calendriers, listes d'amis, groupes dont les comptes étaient membres, ainsi que les noms des personnes avec qui il y avait eu conversation via Messenger, sans pour autant avoir accès aux dites conversations.

La firme précise cependant que dans le cas où l'un des comptes piratés était administrateur d'un groupe ou d'une page, et seulement dans ce cas, les pirates ont eu accès au contenu des conversations de ladite page.

Accès à des données personnelles

Facebook poursuit en expliquant que les 400 000 utilisateurs touchés de base ont permis de voler les "jetons d'accès" d'un total de 30 millions de comptes. Parmi ces 30 millions de profils hackés, le réseau social explique que les pirates ont eu accès aux noms et coordonnées de 15 millions d'entre eux.

Pour les 14 millions d'autres, les pirates ont pu consulter les données suivantes :

"Pour 14 millions de personnes, les pirates ont accédé aux deux mêmes ensembles d'informations, ainsi qu'à d'autres détails que les gens avaient sur leur profil. Il s'agit notamment du nom d'utilisateur, du sexe, de la localité/langue, de l'état de la relation, de la religion, de la ville natale, de la ville actuelle déclarée, de la date de naissance, des types d'appareils utilisés pour accéder à Facebook, des études, du travail, des 10 derniers endroits qu'ils ont visités ou sur lesquels on les a marqués, du site Web, des personnes ou pages suivies et des 15 recherches les plus récentes".

Enfin, pour le million d'utilisateurs restant, la vulnérabilité n'aurait permis d'accéder à aucune donnée.


Votre compte a t'il été impacté ?

En complément du communiqué publié dans la newsroom Facebook, l'entreprise a également publié une note relative à l'incident, qui vous permet, avec le peu de recul quant à l'impact de l'incident, de vous confirmer si votre compte a été touché par ce piratage.

Capture d’écran 2018-10-13 à 15.08.36.png
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
12
0
burnit
Les pirates qui ont récupéré les comptes c’est-à-dire le fbi, les gouvernements et ceux qui les ont acheté à l’œil.
nirgal76
j’ai le nom du pirate qui a volé les infos des utilisateurs, c’est un certain zuckerberg
obyoneone
bullshit
nirgal76
C’est pas une question de moyen mais de principe.
Rapidkiller
'tain, j’espère que je suis pas dans la liste des comptes touchés …<br /> Ah non chsuis con, j’ai pas de compte sur cette daube lol
nirgal76
ni sur insta, whatsapp et cie etc… ?
TofVW
Je ne peux pas répondre pour Rapidkiller, mais me concernant, c’est le cas. Aucun compte sur aucun service facebook.<br /> Je ne comprends pas pourquoi tu poses la question, comme si ça pouvait être surprenant…?
ultimate77
Ouuuff, il n’y a eu “que” 29 millions de comptes piratés… je suis soulagé.<br /> Plus sérieusement, Facebook a osé dire ça comme ça, c’est lamentable.
karochky
En Espagne par exemple Whatsapp est le standard pour les messages (personnnes n’utilise SMS ou autre), du coup t’as pas trop le choix.
nirgal76
Pour voir s’il était cohérent. C’est pas surprenant, ce serait même sain (J’ai rien de tout ça mais bon, j’suis vieux, je reste sur irc ;))
Voir tous les messages sur le forum

Actualités du moment

🔥 Bon plan : Red dead redemption 2 à 46,59€ sur PS4
Les Etats-Unis créent un Institut pour la Mobilité Automatisée
Boston Dynamics : le robot flippant sait désormais faire du parkour
Comme il l'avait promis, Elon Musk a payé pour nettoyer le réseau d'eau à Flint
Des chercheurs développent des objets imprimés 3D qui surveillent leur propre activité
Bon plan : -30% supplémentaire sur les abonnements Lifetime chez pCloud
Twitter : les emojis désormais tous égaux quels que soient leur sexe et couleur
Le concours du Meilleur Dev de France, ça commence bientôt !
Snapchat va produire ses propres séries ! (oui, elles seront filmées à la verticale)
Bon plan : l’hébergement Wordpress à 4,99€/mois chez 1&1
Haut de page