Discussion :

[Stéphane le calme]

Près de 50 millions de comptes Facebook affectés par une faille de sécurité,
considérée comme étant la plus importante de l'histoire du réseau social

Près de 50 millions de comptes Facebook ont ​​été compromis par une attaque qui a permis aux pirates de prendre le contrôle des comptes des utilisateurs, a révélé Facebook vendredi. Le réseau social a précisé que la faille a été découverte par ses ingénieurs le mardi 25 septembre. Jeudi, un correctif était déjà disponible. Bien entendu, Facebook a assuré que les utilisateurs dont les comptes ont été affectés seront notifiés.

« Je suis content que nous ayons trouvé cela et corrigé la vulnérabilité », a déclaré Mark Zuckerberg lors d’une conférence téléphonique avec des journalistes vendredi matin. « Mais c'est un problème que cela s'est produit en premier lieu. Je pense que cela souligne les attaques auxquelles notre communauté et nos services sont confrontés ».

La violation de sécurité, considérée comme la plus importante de l’histoire de Facebook, est particulièrement grave car les pirates ont volé des « jetons d’accès », une sorte de clé de sécurité permettant aux utilisateurs de rester connectés à Facebook via plusieurs sessions de navigation. Posséder un jeton permet à un attaquant de prendre le contrôle total du compte de la victime, y compris de se connecter à des applications tierces utilisant Facebook Login.

« Il s’agit là d’un autre indicateur qui montre que le Congrès doit prendre des mesures pour protéger la vie privée et la sécurité des utilisateurs des médias sociaux », a déclaré dans un communiqué le sénateur Mark Warner, un démocrate de Virginie et l’un des critiques les plus virulents du Congrès. « Une enquête approfondie devrait être menée rapidement et rendue publique afin que nous puissions mieux comprendre ce qui s'est passé ».

Lors de la conférence téléphonique de vendredi, Guy Rosen, vice-président de la gestion des produits chez Facebook, a refusé de dire si l’attaque aurait pu être coordonnée par des pirates informatiques soutenus par un État-nation.

« L’enquête est encore à ses débuts et il est difficile de savoir qui est derrière tout cela », a déclaré Gary Rosen, qui a expliqué que Facebook travaille de concert avec le FBI. Les responsables de l'entreprise ne connaissent ni l'identité ni l'origine des attaquants et ils n'ont pas pleinement évalué l'étendue de l'attaque ou si des utilisateurs particuliers ont été ciblés. « Nous ne le saurons peut-être jamais », Il a noté que l'ampleur et la complexité du piratage auraient nécessité « un certain niveau » d'expertise.

Une violation de la vie privée qui s’appuie sur un outil censé améliorer la confidentialité

Selon deux personnes familières avec l’enquête, trois failles dans les systèmes de Facebook ont ​​permis à des pirates d’accéder à des comptes d’utilisateurs, y compris ceux des dirigeants Mark Zuckerberg et Sheryl Sandberg. Les attaquants auraient pu accéder à des applications telles que Spotify, Instagram et des centaines d'autres applications permettant aux utilisateurs de se connecter à leurs systèmes via Facebook.

Les bogues logiciels étaient particulièrement délicats pour une entreprise fière de son ingénierie: les deux premiers ont été introduits par un outil en ligne destiné à améliorer la confidentialité des utilisateurs. Le troisième a été introduit en juillet 2017 par un outil destiné à télécharger facilement des vidéos d'anniversaire.

Concernant l’outil destiné à améliorer la confidentialité des utilisateurs, il s’agit de la fonctionnalité « Aperçu du profil en tant que », proposée par Facebook en juillet 2017. Elle permet aux utilisateurs de voir comment est affiché le profil à certaines catégories d’utilisateurs (amis, ne figurant pas dans la liste d’amis, personnes spécifiques dans sa liste d’amis). La société ne sait pas encore quand le piratage a eu lieu, mais elle a déclaré avoir ouvert une enquête après avoir découvert une activité inhabituelle le 16 septembre.

Une attaque dans un contexte critique

La faille de sécurité survient à un moment délicat pour Facebook, qui a fait face à des critiques croissantes sur des questions telles que l’ingérence électorale étrangère aux États-Unis (notamment par les fake news), les discours de haine (aussi bien aux États-Unis qu’en Europe) et la confidentialité des données suite au scandale Cambridge Analytica.

Selon Facebook, l’attaquant a exploité trois bogues introduits dans la fonctionnalité « Afficher en tant que» du site en juillet 2017. « Afficher en tant que » permet aux utilisateurs de voir à quoi ressemble leur profil aux autres utilisateurs. La société ne sait pas encore quand le piratage a eu lieu, mais elle a déclaré avoir ouvert une enquête après avoir découvert une activité inhabituelle le 16 septembre.

Aussi, outre les 50 millions de comptes dont les jetons d’accès ont été utilisés, Facebook a déclaré qu’il demanderait aux 40 millions d’utilisateurs supplémentaires de l’outil « Afficher en tant que » de se déconnecter de leurs comptes par mesure de précaution. Cela réinitialisera les jetons d'accès de ces utilisateurs, protégeant ainsi leurs comptes.

« Les violations ne s’attaquent pas seulement à notre vie privée. Elles créent des risques énormes pour notre économie et notre sécurité nationale », a déclaré Rohit Chopra, un commissaire de la Federal Trade Commission, dans un communiqué. « Le coût de l'inaction augmente et nous avons besoin de réponses ».

« Cela nous a vraiment montré que l’environnement numérique actuel est si complexe qu’une violation sur une plateforme unique, en particulier une plateforme aussi populaire que Facebook, peut avoir des conséquences beaucoup plus importantes que ce que nous pouvons envisager au début. de l'enquête », a déclaré April Doss, présidente de la cybersécurité du cabinet d'avocats Saul Ewing.

En savoir plus sur la fonctionnalité Aperçu du profil en tant que

Source : NYT

Voir aussi :

Un hacker dit qu'il va supprimer en direct la page Facebook de Zuckerberg, dans une attaque prévue pour ce dimanche
Avez-vous donné à Facebook votre numéro de téléphone pour plus de sécurité et de confidentialité? Il l'a utilisé pour des annonces publicitaires
Google et Facebook s'engagent à suivre le code européen de bonnes pratiques contre la désinformation, Bruxelles attend de voir les résultats
Brian Acton, co-fondateur WhatsApp, explique pourquoi il est parti de Facebook et a abandonné 850 millions de $
Les deux cofondateurs d'Instagram démissionnent de leurs postes chez Facebook, quelques mois après le départ du cofondateur de WhatsApp

[Stan Adkens]

Facebook surpris en train de bloquer les histoires d’AP et de Guardian sur sa violation massive de données
Touchant 50 millions d’utilisateurs

Les problèmes du géant des réseaux sociaux vont en s’empirant, c’est le moins qu’on puisse dire. De la violation des données privées des utilisateurs avec son corolaire de révélations des partages de données utilisateurs avec les entreprises étrangères à la révélation selon laquelle les numéros de téléphone fournis pour plus de sécurité et de confidentialité sur les comptes utilisateur Facebook seraient utilisés par les annonceurs avec le consentement de Facebook, le réseau social n’a aucun répit depuis plus d’un an. Il fait l’objet de plusieurs enquêtes, notamment une nouvelle enquête de la SEC (US Securities and Exchange Commission) sur les déclarations de Facebook concernant Cambridge Analytica.

Comme cela ne suffisait pas, Fight For The Future a rapporté, le vendredi dernier, que Facebook a été surpris en train de bloquer automatiquement les articles d’Associated Press et de Guardian sur la toute dernière et la plus importante violation massive de données utilisateur que le réseau social ait connu.

En effet, dans l'après-midi du mardi 25 septembre, les ingénieurs de Facebook ont découvert un problème de sécurité touchant près de 50 millions de comptes. Un correctif était déjà disponible le jeudi suivant et le vendredi dernier, Facebook a révélé que l’attaque a compromis près de 50 millions de comptes Facebook permettant de prendre le contrôle des utilisateurs. Facebook a rapporté que les attaquants ont exploité une vulnérabilité du code de Facebook ayant affecté la fonctionnalité « View As », qui permet aux utilisateurs de voir à quoi ressemble leur propre profil. Les pirates ont dérobé des jetons d’accès Facebook qui leur ont permis ensuite de prendre le contrôle des comptes utilisateurs. Cependant, le problème a été résolu avec le correctif.

Toutefois, après l’annonce de Facebook, l’étonnement des internautes fut grand le vendredi dernier, lorsque les informations, selon lesquelles Facebook empêcherait la publication des articles de Guardian et d’ d’Associated Press concernant la compromission des 50 millions de comptes Facebook, ont commencé a circulé sur Twitter, selon Fight For Furture.

Après une telle violation massive, les internautes sont habitués à s’attendre à des publications qui expliquent l’événement dans les détails. Mais, ils ont été surpris de constater que toute publication de ces deux articles était empêchée automatique par Facebook avec la mention « Nous avons supprimé ce post car il ressemble à du spam et ne suit pas nos normes de commuty ». Néanmoins, les articles ont pu être partagés sur Twitter par certains utilisateurs.

Un tweet a annoncé ensuite, après plus d’une heure, que le blocage sur Facebook a été résolu en suggérant que « cette histoire s’est répandue tellement de façon virale que le seuil de détection du spam a été dépassé ». Facebook a confirmé la suggestion dans un poste sur son réseau social. Le fait qu'un grand nombre de personnes voulaient partager la même histoire aurait fait que les systèmes de Facebook l’ont signalée comme spam.

Facebook, dont les efforts dans l’amélioration de la protection des données des utilisateurs n’ont pas convaincu jusqu’à présent, est encore impliqué dans une nouvelle violation qui risquent de donner raison aux groupes de défense des libertés civiles et des droits numériques qui demandent depuis longtemps à des sociétés de technologie telles que Facebook de minimiser la quantité de données stockées sur leurs utilisateurs.

Le vendredi dernier, après la publication de la violation, Facebook a apporté ensuite des détails sur la rocambolesque violation de données qui a été découverte en début de cette semaine par les ingénieurs de facebook. Selon Pedro Canahuati, vice-président de l’ingénierie, de la sécurité et de la confidentialité, la vulnérabilité était le résultat de l’interaction de trois bogues distincts :

« Premièrement : « View As » est une fonctionnalité de confidentialité qui permet aux gens de voir à quoi ressemble leur propre profil comme quelqu'un d'autre. « View As » devrait être une interface en lecture seule. Cependant, pour un type de compositeur (la boîte qui vous permet de publier du contenu sur Facebook), en particulier la version qui permet aux gens de souhaiter un joyeux anniversaire à leurs amis, « View As » fournit de manière incorrecte l’opportunité de poster une vidéo.

Deuxièmement : une nouvelle version de notre téléchargeur vidéo (l'interface qui serait présentée à la suite du premier bogue), introduite en juillet 2017, a généré de manière incorrecte un jeton d'accès doté des autorisations de l'application mobile Facebook.

Troisièmement : lorsque le téléchargeur de vidéo est apparu dans le cadre de « View As », il a généré le jeton d'accès non pas pour vous en tant que lecteur, mais pour l'utilisateur que vous recherchiez. »

Selon Fight For The Future, pour éviter pareille violation massive de données utilisateur à l’avenir « les entreprises doivent minimiser la quantité de données qu'elles collectent et être tenues responsables lorsqu'elles mettent des personnes en danger. C’est la seule chose qui les empêchera de collecter autant de données en premier lieu. »

Source : Fight For The Future

Et vous ?

Que pensez-vous de cette affaire de censure ?
Pensez-vous que le blocage n’était pas intentionnel de la part de Facebook ?

Voir aussi

Un hacker dit qu'il va supprimer en direct la page Facebook de Zuckerberg, dans une attaque prévue pour ce dimanche
Avez-vous donné à Facebook votre numéro de téléphone pour plus de sécurité et de confidentialité? Il l'a utilisé pour des annonces publicitaires
Google et Facebook s'engagent à suivre le code européen de bonnes pratiques contre la désinformation, Bruxelles attend de voir les résultats
Fake news : la Commission de l'UE crée un groupe d'experts de haut niveau et lance une consultation publique, pour lutter contre le phénomène
Facebook, Google et d'autres plateformes tous unis au sein du Trust Project, pour plus de transparence sur les actualités qui circulent sur le Web

[Itachiaurion]

"l’étonnement des internautes fut grand le vendredi dernier, lorsque les informations, selon lesquelles Facebook empêcherait la publication des articles de Guardian et d’ d’Associated Press concernant la compromission des 50 millions de comptes"

Franchement? Il y en a que ça étonne? Je ne suis pas sur FaceBook mais rien de tout cela m'étonne, même en usant de l'excuse de spam, je ne vois pas comment des journaux pourrais spammer en ne postant que 2-3 article lié a cette énorme faille. Le spam en l’occurrence c'est en général concernant un utilisateur qui poste plein de message, pas plein d'utilisateur qui veulent relayer une information importante aux autres. Ce qui m'étonne c'est qu'il y est encore des gens qui pense que Facebook est un bisounours tout gentil. J’espère au moins qu'ils on prit contact avec les 50 millions ou plus (j'avais entendu qu'il pouvais y avoir 40 millions de compromissions en plus) pour s'excuser.

[a028762]

Il n'y a plus qu'à attendre que Facebook rachète Twitter

[Coriolan]

Facebook : la faille de sécurité aurait possiblement affecté 90 millions de comptes
et exposé les données des utilisateurs pendant au moins 14 mois

C’est une autre déroute de Facebook qui pourrait avoir des conséquences énormes. Après avoir informé qu’une faille a permis une fuite de données de 50 millions de comptes, le réseau social est revenu avec plus de détails techniques sur ce problème de sécurité.

Tout d’abord, Facebook a admis que le bogue aurait potentiellement exposé les données des utilisateurs pendant au moins 14 mois. Quant au nombre des utilisateurs affectés, il pourrait atteindre jusqu’à 90 millions de comptes au lieu des 50 millions annoncés auparavant.

Mais comment en est-on arrivé là ? Facebook a révélé que les hackers ont exploité une combinaison de trois bogues qui a permis aux hackers de s’emparer de jetons d’accès attribués à des dizaines de millions de comptes d’utilisateurs. Grâce à ces jetons, les attaquants ont été en mesure de se connecter aux comptes Facebook sans avoir besoin de connaître leurs mots de passe, permettant au passage aux hackers de mettre la main sur les informations privées, photos et vidéos des utilisateurs.

Pire encore, cette fuite affecte aussi les sites et applications tiers connectés à chaque compte Facebook.

Cette attaque aurait eu aussi un impact sur les sites et applications tierces connectés à chaque compte Facebook piraté. En vraisemblance, une fois les hackers ont accès aux comptes d’utilisateurs, ils peuvent se connecter dans les sites et applications liés à chaque compte.

Dans une première note de sécurité, Facebook a expliqué que les attaquants ont abusé la fonctionnalité « Aperçu du profil en tant que » proposée par Facebook en juillet 2017. Cette fonctionnalité censée améliorer la confidentialité des utilisateurs a permis aux hackers de s'emparer des jetons d’accès.

Cette vulnérabilité a été le résultat de trois différents bogues :

Premièrement : la fonctionnalité “Aperçu du profil en tant que” est censée permettre aux utilisateurs de visualiser leur profil en tant que quelqu’un d’autre. Cependant, pour un type de compositeur (la zone qui permet de poster du contenu sur Facebook), plus spécifiquement la version qui permet aux gens de souhaiter un bon anniversaire à leurs amis, cette fonctionnalité a incorrectement permis de poster une vidéo.

Deuxièmement : une nouvelle version de l’uploader de vidéo (l’interface présentée en raison du premier bogue), introduite en juillet 2017, a généré de manière erronée un jeton d’accès qui a les permissions de l’application mobile de Facebook.

Troisièmement : quand l'uploader vidéo apparaît à partir de “Aperçu du profil en tant que”, il a généré un jeton d’accès non pas pour vous, mais pour l’utilisateur que vous avez cherché.

« C’est cette combinaison de ces trois bogues qui est devenue une vulnérabilité : en utilisant la fonctionnalité ‘Aperçu du profil’, le code n’a pas supprimé le compositeur qui laisse les gens vous souhaiter un bon anniversaire ; l’uploader de vidéo générait un jeton d’accès alors que cela ne devait pضs avoir lieu ; et quand le jeton d’accès était généré, il n’était pas pour vous, mais la personne cherchée. Il [jeton] était alors disponible dans une page HTML, où il pouvait être extrait par les attaquants et exploité pour se connecter en tant qu’un autre utilisateur, » a écrit Pedro Canahuati, Vice-président de l’Ingénierie, Sécurité et Confidentialité chez Facebook.

En lisant cette description de la vulnérabilité, on se rend compte que chaque compte de Facebook a été menacé d’être piraté. Néanmoins Facebook estime que seulement 50 millions de comptes ont été réellement « directement affectés ». Une autre 40 millions de comptes ont été soumis à une réinitialisation des jetons d’accès en tant que mesure de précaution. Facebook a informé avoir comblé la faille et avoir déconnecté la totalité des 90 millions d’utilisateurs pour invalider leurs jetons d’accès. Si votre compte a été déconnecté seul récemment, vous savez maintenant que ça fait partie des mesures prises par Facebook.

Lors d’une conférence de presse tenue vendredi, Facebook a noté avoir identifié la vulnérabilité après avoir remarqué mardi un pic suspect de l’activité des utilisateurs. L’attaque a été d’une grande échelle a informé l’entreprise. Après des investigations, le réseau social s’est rendu compte que des hackers ont exploité l’API du site pour automatiser le processus de collecte des données d’utilisateurs à partir de leurs profils.

Même les comptes de Zuckerberg et Sheryl Sandberg (COO de Facebook) ont été affectés. Facebook a informé avoir contacté les autorités et corrigé la faille.

Il n’est pas clair qui est à l’origine de cette attaque ; lors de la même semaine, un hacker a dit qu’il va supprimer en direct la page Facebook de Zuckerberg. Une chose qui a poussé certains à lier les deux faits. Néanmoins, Facebook assure qu’il n’existe aucune relation entre la fuite et ce hacker présumé.

Cette attaque est la dernière d’une série d'événements qui ont terni l’image du réseau social auprès du grand public. En mars, le quotidien américain New York Times et britannique The Guardian ont publié des informations relatives à une campagne de manipulation orchestrée par l’entreprise Cambridge Analytica, une société spécialisée dans l’analyse de données (data mining), ِce scandale dit Facebook-Cambridge Analytica ou la fuite de données Facebook-Cambridge Analytica renvoie aux données personnelles de 87 millions d'utilisateurs Facebook que la société Cambridge Analytica a commencé à recueillir dès 2014.

Source : facebook

Et vous ?

Qu’en pensez-vous ?
Votre compte Facebook a-t-il été affecté par cette faille ?

Voir aussi

Près de 50 millions de comptes Facebook affectés par une faille de sécurité considérée comme étant la plus importante de l'histoire du réseau social
Facebook surpris en train de bloquer les histoires d’AP et de Guardian sur sa violation massive de données touchant 50 millions d’utilisateurs
Un hacker dit qu'il va supprimer en direct la page Facebook de Zuckerberg, dans une attaque prévue pour ce dimanche

[Marco46]

En résumé : Explosion combinatoire des cas de tests -> catastrophe.

Quand c'est trop gros, c'est trop gros !

[Bill Fassinou]

Facebook pourrait écoper d'une amende de 1,63 Md$ US pour le piratage des 50 millions de comptes utilisateurs
dont il a été récemment victime

Le 28 septembre dernier, Facebook a révélé que près de 50 millions de comptes Facebook ont ​​été compromis par une attaque dont les auteurs ont réussi à prendre le contrôle des comptes. La brèche de sécurité a été, selon les dires de l’entreprise, découverte le mardi 25 septembre et colmatée deux jours plus tard. L’entreprise a pris l’engagement de notifier aux utilisateurs concernés que leurs comptes avaient été affectés par l’attaque. Quelques heures après la révélation de Facebook, les internautes ont commencé à s’étonner de ne pas voir de publications portant sur cette violation sur les pages de médias informatifs tels que Guardian et Associated Press.

Très vite, une rumeur selon laquelle Facebook bloquerait toute publication de ces deux pages en rapport avec cette violation a commencé à circuler. Dans une tentative de justification, Facebook a expliqué que cela était dû au trop grand nombre de posts sur le sujet. Tellement de gens en ont parlé que le seuil du spam a été atteint, ce qui a entraîné un blocage systématique de toute nouvelle publication sur le sujet, selon les dires de l’entreprise.

On se demandait sûrement tous à quel moment interviendrait une sanction liée à l’application du RGPD. Eh bien, on pourrait ne pas avoir à attendre longtemps. En effet, une amende pourrait bien tomber sur la table pour Facebook dans les semaines à venir. Laquelle amende pourrait s’élever jusqu’à 1,63 milliard de dollars. Le dossier est toujours en instance d’étude au sein de la Commission irlandaise de protection des données, la principale autorité européenne de réglementation de la confidentialité sur Facebook.

La Commission a annoncé avoir demandé plus d’informations sur la nature et l’ampleur de la violation ainsi que sur les résidents européens affectés. De plus, elle s’est déclarée « préoccupée par le fait que cette violation ait été découverte la semaine dernière et ait affecté plusieurs millions de comptes mais que Facebook ne soit toujours pas capable d’en préciser la nature et les risques pour les utilisateurs ». Une porte-parole de Facebook a déclaré dimanche dernier que l’entreprise répondrait volontiers à toutes les questions que le régulateur irlandais pourrait se poser.

La procédure d’enquête en cours s’appesantira probablement sur la question de savoir si Facebook a pris les mesures appropriées en matière de protection de données avant l’attaque. Il faudra donc déterminer si la réussite de l’attaque n’est pas en partie due à un laxisme de la part de Facebook. Ceci sera l’un des premiers réels tests de l’application du RGPD. Mais, on peut déjà remarquer que les menaces d’amendes colossales qu’a instaurées le RGDP ont déjà réussi à modifier la manière dont les grandes entreprises gèrent les cas de violations. Le public et les autorités sont mis au courant dans des délais bien plus courts que ceux auxquels ces mêmes entreprises nous avaient habitués avant l’entrée en vigueur du RGPD.

Le but des réglementations ne devrait pas être de taxer les entreprises si violemment qu’elles frôleraient la banqueroute. C’est la substance des avis des internautes sur le sujet. Ils expliquent qu’il faudrait peut-être freiner un peu les amendes afin de ne pas asphyxier les entreprises, puisque l’objectif final du RGPD, c’est d’amener ces entreprises à modifier leur comportement vis-à-vis des utilisateurs.

Source : The Wall Street Journal

Et vous ?

Qu’en pensez-vous ?

Voir aussi

Facebook surpris en train de bloquer les histoires d'AP et de Guardian sur sa violation massive de données, touchant 50 millions d'utilisateurs

Près de 50 millions de comptes Facebook affectés par une faille de sécurité considérée comme étant la plus importante de l'histoire du réseau social

Un hacker dit qu'il va supprimer en direct la page Facebook de Zuckerberg, dans une attaque prévue pour ce dimanche

Avez-vous donné à Facebook votre numéro de téléphone pour plus de sécurité et de confidentialité? Il l'a utilisé pour des annonces publicitaires

Google et Facebook s'engagent à suivre le code européen de bonnes pratiques contre la désinformation, Bruxelles attend de voir les résultats

[Matthieu76]

Tu te fais pirater, tu payes une amende! Je comprends pas trop le principe....

[Sodium]

Tu te fais pirater, tu payes une amende! Je comprends pas trop le principe....

Je n'ai pas suivi l'affaire, mais si le piratage est dû à un manque de rigueur dans sécurité du système, il est logique de faire payer une amende si la faille a donné accès à des données personnelles.

[BabarG]

Votre article est fort intéressant et apporte des éléments pertinents sur la faille et ses conséquences.

Toutefois, je trouve dommage que vous gachiez votre message avec une formulation inadaptée et fausse:

C’est la substance des avis des internautes sur le sujet.

Votre argument est un appel à la popularité pour jusitifier un point de vu. Le point de vu "les amendes liées à la RGPD sont trop importantes" peut être défendu ou contredit. Toutefois l'appel à la popularité pour justifier l'argumentaire est fallacieux.
En plus d'être fallacieux cet argument vous fait passez à côté de toutes justifications et vous ne donnez aucun fait pour étailler cette théorie "amendes trop importantes".

J'espère qu'on aura l'occasion de lire vos prochains articles sans un argumentaire fallacieux en conclusion.

[GordonFreeman]

Simple remarque mais je pense que ce serait plutôt pas mal dans ce genre de cas que ce soit les personnes lésées qui profitent de cette amende.

Au final, les personnes affectées par ce problème voient leurs données dans la nature et n'ont aucune forme de compensation.

Raisonnement utopique je sais bien, mais il fait bon rêver des fois....

[Stan Adkens]

Les pirates seraient en train de vendre des identifiants de connexion à Facebook sur le marché obscur du Web pour environ 3 $
Selon un rapport

Selon un rapport des nouvelles recherches de Money Guru, les données utilisateurs volées par les pirates lors de la dernière attaque contre Facebook seraient en train d’être vendues sur le « dark Web » à des prix dérisoires.

En effet, le mardi 25 septembre, les ingénieurs de Facebook ont remarqué des activités suspectes sur le réseau social qui se sont révélées comme étant une attaque par la suite. Jeudi, un correctif était déjà disponible. L’attaque qui a permis aux pirates de prendre le contrôle des comptes des utilisateurs a compromis près de 50 millions de comptes Facebook. Ces informations ont été rendues publiques le matin du vendredi dernier par le géant des réseaux sociaux, lui-même.

La violation de sécurité, considérée comme la plus importante de l’histoire de Facebook, a permis au pirates de voler des « jetons d’accès ». Ces « jetons d’accès » leur ont permis de prendre le contrôle total du compte de la victime, y compris de se connecter à des applications tierces utilisant le login de Facebook. Cette violation a été rendue possibles grâce à trois bogues dont les deux premiers ont été introduits par la fonctionnalité « View As », qui permet à un utilisateur de voir son profil comme les autres le voit et le troisième par un outil de téléchargement de vidéos introduit en juillet 2017.

Selon deux personnes familières avec l’enquête, les attaquants auraient pu accéder à des applications telles que Spotify, Instagram et des centaines d'autres applications permettant aux utilisateurs de se connecter à leurs systèmes via Facebook. Cette attaque dont le nombre de victimes pourrait atteindre 90 millions au lieu des 50 millions de comptes compromis annoncés par Facebook, n’a pas épargné les comptes du PDG de Facebook, Mark Zuckerberg et celui de Sheryl Sandberg, la chef des opérations chez Facebook. Une quantité inestimable de données a certainement été extraite de ces dizaines de millions de comptes que les pirates ont eu le temps d’exploiter, même si Facebook n’avait pas encore la mesure de l’étendue de l’attaque, le vendredi dernier.

New York Post, a rapporté les résultats des recherches selon lesquelles des pirates seraient en train de vendre des identifiants de connexion à Facebook pour seulement 2,60 dollars sur le marché obscur du Web. Le rapport de l’étude de Money Guru est apparu quelques heures seulement après que la violation ait été rendue publique par Facebook. Selon New York Post, les recherches portaient sur la disponibilité des identifiants de connexion à la vente pour les 26 comptes en ligne les plus utilisés.

Selon le rapport, les identifiants de connexion à des boites électroniques font partie des données volées lors de l’attaque et seraient également mis en vente sur le dark Web et n’importe quel internaute disposant d’un navigateur et des adresses Web appropriés pourrait y accéder facilement.

New York Post rapporte même que les données financières ont été piratées et seraient en train d’être, également, bradées. Pour seulement 14 USD, des informations sur les cartes de crédit pourraient être obtenues par des fraudeurs et avec seulement 19,50 USD, des informations sur les cartes de débit seraient vendues.

Par ailleurs, les études ont révélé que, théoriquement, 972 dollars suffiraient pour obtenir l’intégralité de l’identité en ligne d’une personne, à savoir, des identifiants d’accès à des comptes d’achat en ligne, à des services de divertissement et à des profils de médias sociaux, a rapporté New York Post. Des informations personnelles telles que les adresses personnelles et les numéros de téléphone seraient comprises dans les données que les pirates ont volées et mises en vente.

Selon le rapport de Money Guru, « Bien que le montant volé à une victime de fraude au Royaume-Uni soit souvent relativement petit, 39 % des cas aboutissent à 326 dollars ou plus. » « Les données ONS (Office Nationale des Statistiques) du Royaume-Uni montrent également que, dans près de 25 % des cas, ce montant peut varier entre 653 et 52 200 dollars. », a-t-il ajouté.

Le rapport s’inquiète également pour les internautes : « Le fait que des fraudeurs puissent dépenser moins de 750 £ pour avoir la possibilité d'accéder à des dizaines de milliers de personnes est une pensée effrayante. »

L’attaque historique dont les conséquences ne sont qu’en leurs débuts, qui est arrivée à un moment où Facebook fait face à des critiques croissantes sur des questions telles que l’ingérence électorale étrangère aux États-Unis, les discours de haine et la confidentialité des données privées suite au scandale Cambridge Analytica, a suscité, dès le vendredi dernier, des réactions dans le milieu des législateurs américains.

« Il s’agit là d’un autre indicateur qui montre que le Congrès doit prendre des mesures pour protéger la vie privée et la sécurité des utilisateurs des médias sociaux », a déclaré dans un communiqué le sénateur démocrate Mark Warner. « Une enquête approfondie devrait être menée rapidement et rendue publique afin que nous puissions mieux comprendre ce qui s'est passé ».

Par ailleurs, du côté de l’Europe, une amende européenne dont le montant pourrait s’élever jusqu’à 1,63 milliard de dollars serait à l’étude et pourrait tomber dans les semaines à venir, vu la tournure que prend la situation.

Source : New York Post

Et vous ?

Que pensez-vous de l’ampleur de cette attaque ?
Avez-vous un compte Facebook ? Que comptez-vous faire après ce nouveau rebondissement dans la dernière attaque contre Facebook ?

Voir aussi

Avez-vous donné à Facebook votre numéro de téléphone pour plus de sécurité et de confidentialité? Il l'a utilisé pour des annonces publicitaires
Les données des utilisateurs continuent d'être piratées et mal utilisées, les consommateurs recherchent de meilleures alternatives
Facebook révèle avoir partagé les données de ses utilisateurs avec des dizaines d'entreprises, dans un nouveau rapport remis au Congrès US
Scandale Cambridge Analytica : Mark Zuckerberg comparaît devant le Parlement européen, voici l'essentiel de l'audience
Cambridge Analytica s'offre à 18 000 potentiels acquéreurs et reçoit 4 offres, personne ne semble intéressé après le scandale Facebook

[Bill Fassinou]

L'UE ouvre une enquête après la faille de sécurité révélée par Facebook
qui a compromis près de 50 millions de comptes Facebook

Le 28 septembre dernier, Facebook a révélé que près de 50 millions de comptes Facebook ont ​​été compromis par une attaque dont les auteurs ont réussi à prendre le contrôle des comptes. La brèche de sécurité a été, selon les dires de l’entreprise, découverte le mardi 25 septembre et colmatée deux jours plus tard. Facebook a admis que le bogue aurait potentiellement exposé les données des utilisateurs pendant au moins 14 mois. Quant au nombre des utilisateurs affectés, il pourrait atteindre jusqu’à 90 millions de comptes au lieu des 50 millions annoncés auparavant.

La Commission irlandaise de protection des données (DPC), la principale autorité européenne de réglementation de la confidentialité sur Facebook, a annoncé avoir demandé plus d’informations sur la nature et l’ampleur de la violation ainsi que sur les résidents européens affectés. De plus, elle s’est déclarée « préoccupée par le fait que cette violation ait été découverte la semaine dernière et ait affecté plusieurs millions de comptes mais que Facebook ne soit toujours pas capable d’en préciser la nature et les risques pour les utilisateurs ». Une porte-parole de Facebook a déclaré dimanche dernier que l’entreprise répondrait volontiers à toutes les questions que le régulateur irlandais pourrait se poser.

Le réseau social risquerait une amende de 1,63 milliard de dollars US s'il n'avait pas pris les mesures appropriées en matière de protection de données avant l’attaque. Pour tirer l'affaire au clair et situer les responsabilités, la Commission a ouvert mercredi dernier une enquête sur la faille de sécurité révélée par Facebook. Dans un communiqué, la Commission annonce que « l’enquête étudiera en particulier le respect par Facebook de ses obligations dans le cadre du règlement de l’Union européenne sur la protection des données personnelles (RGPD) pour mettre en œuvre les mesures techniques et organisationnelles visant à assurer la sécurité et la sauvegarde des données à caractère personnel qu’il traite ».

Rappelons que la RGPD, entrée en vigueur le 25 mai dernier, prévoit, en cas d’infraction aux lois relatives à la protection de la vie privée, des amendes pouvant atteindre 4 % du chiffre d’affaires global de l'entreprise ou 20 millions d’euros, selon le montant le plus élevé. Facebook risque donc gros si l'enquête parvenait à le tenir pour responsable de cette attaque. Toutefois, la Commission a précisé que Facebook l’avait informée de l’ouverture de sa propre enquête interne et l’a assurée qu’il continuait de prendre des mesures pour réduire les risques potentiels auxquels sont exposés ses utilisateurs. Affaire à suivre donc.

Source : Reuters

Et vous ?

Qu'en pensez-vous ?
Facebook serait-il coupable dans cette affaire selon vous ? Pourquoi ?

Voir aussi

Les pirates seraient en train de vendre des identifiants de connexion à Facebook sur le marché obscur du Web pour environ 3 $, selon un rapport

Facebook : la faille de sécurité aurait possiblement affecté 90 millions de comptes et exposé les données des utilisateurs pendant au moins 14 mois

Avez-vous donné à Facebook votre numéro de téléphone pour plus de sécurité et de confidentialité? Il l'a utilisé pour des annonces publicitaires

Les données des utilisateurs continuent d'être piratées et mal utilisées, les consommateurs recherchent de meilleures alternatives

Facebook révèle avoir partagé les données de ses utilisateurs avec des dizaines d'entreprises, dans un nouveau rapport remis au Congrès US

[Marco46]

Pour tirer l'affaire au clair et situer les responsabilités, la Commission a ouvert mercredi dernier une enquête sur la faille de sécurité révélée par Facebook.

Aie aie aie, ils sont déjà pas capables de faire respecter des normes environnementales et ils veulent faire de la sécurité informatique maintenant.

Je vois vraiment pas comment une telle chose pourrait se dérouler (ils vont imposer un audit indépendant dans les process et le source de FB qui doit faire des dizaines de millions de lignes ?!?). De 2 choses l'une, soit Facebook connaissait l'existence de la faille depuis longtemps et ils ne l'ont pas corrigée (Dans quel but ? Ici ils n'ont rien à gagner et tout à y perdre) soit ils disent la vérité (pour une fois) et ils ont corrigé dès qu'ils ont su et dans ce cas je vois pas bien ce qu'on pourrait leur reprocher.

Le problème de Facebook c'est qu'ils ont 30 000 composants React dans leur code base. Pour les béotiens on parle seulement du frontend là. Je vous laisse imaginer la complexité pour réaliser des tests de nature à révéler ce type de faille (3 bugs qui ensembles ouvrent une faille) sur un tel mastodonte, en particulier en prenant en compte des services externes comme l'authentification. A l'exécution ça coûte très très cher et c'est juste impossible de couvrir tous les cas.

Quand c'est trop gros, c'est trop gros.

[Stan Adkens]

Facebook a confirmé que les hackers ont volé des données personnelles détaillées de 14 millions de personnes
Sur les 30 millions de comptes piratés

Le 28 septembre dernier, Facebook annonçait le piratage d’environ 50 millions de comptes dans une attaque considérée comme étant la plus importante de l'histoire du réseau social. Selon Facebook, les attaquants ont exploité une vulnérabilité de sécurité résultant de l’interaction de trois bogues distincts sur deux fonctionnalités du réseau social, à savoir, « View As », la fonctionnalité qui permet à l’utilisateur de voir son propre compte comme peuvent le voir les autres utilisateurs et une nouvelle version du téléchargeur vidéo de Facebook, un outil destiné à télécharger facilement des vidéos d'anniversaire.

Cependant, le vendredi dernier, deux semaines après l’annonce de l’attaque, Facebook a revu à la baisse le nombre de comptes affectés par la rocambolesque attaque. Sur les 50 millions de compte Facebook annoncés au départ comme ayant été affectés, seulement 30 millions ont vu leur jeton d’accès volé dont 14 millions d’utilisateurs ont été dépouillés de leurs informations confidentielles, notamment le statut de la relation, la religion, la ville d'origine, la ville actuelle déclarée, la date de naissance.

En effet, les ingénieurs de Facebook ont remarqué un pic d’activité inhabituel à partir du 14 septembre dernier et une enquête a permis de découvrir une attaque en cours et de déterminer qu’une faille de sécurité est à l’origine, le 25 septembre. Le 27 septembre, il a été mis fin à l’activité malveillante, les comptes dont le jeton a été affecté ont été réinitialisés, un correctif mis au point a été envoyé aux utilisateurs pour la mise à jour des comptes utilisateurs. Selon Facebook, par précaution la fonctionnalité « View As », à l’origine de l’attaque a été désactivée, entre temps. Une enquête fédérale est en cours afin de connaitre l’identité des attaquants.

Cette nouvelle attaque est arrivée au moment où le réseau social, qui était en train de se refaire une nouvelle image, est la cible d’une nouvelle enquête de la SEC (US Securities and Exchange Commission) sur les discours de Facebook à propos de l’affaire Cambridge Analytica. Par ailleurs, des groupes de défense des libertés civiles et des droits numériques demandent également, depuis longtemps, à des sociétés de technologie telles que Facebook de minimiser la quantité de données stockées sur leurs utilisateurs, afin de minimiser les conséquences des piratages.

Cette attaque avait fait réagit, également, les sénateurs. « Il s’agit là d’un autre indicateur qui montre que le Congrès doit prendre des mesures pour protéger la vie privée et la sécurité des utilisateurs des médias sociaux », a déclaré dans un communiqué le sénateur démocrate Mark Warner. « Une enquête approfondie devrait être menée rapidement et rendue publique afin que nous puissions mieux comprendre ce qui s'est passé ». En effet, nous pensons savoir ce qui s’est passé.

Dans les détails, d’hier, qui minimisent la portée de l’attaque, Facebook a apporté plus d’informations sur ce qui s’est passé lors de l’attaque. En effet, les attaquants ont commencé par contrôler les comptes de quelques utilisateurs qui étaient connectés à leurs amis. Ces comptes ont été utilisés par les pirates pour voler les jetons des comptes des amis et ceux des amis des amis jusqu’à atteindre 400 000 comptes utilisateurs qui ont été automatiquement chargés par les assaillants, selon Facebook. Ces derniers ont pu accéder à tout ce dont les 400 000 personnes auraient pu voir en consultant leurs propres profils par « View As » tel que les publications sur leurs calendriers, les listes d'amis, les groupes dont ils sont membres et les noms des dernières conversations Messenger et bien d’autres informations.

Environ 30 millions de comptes ont été en définitif affectés par le biais des 400 000 premiers contrôlés par les pirates. 15 millions de personnes n’ont été victimes que de vol de nom et de coordonnées, selon le réseau social. Par contre, les assaillants ont pu récupérer des informations sensibles dans 14 millions de comptes Facebook telles que le nom d'utilisateur, le sexe, la langue, le statut de la relation, la religion, la ville d'origine, la ville actuelle déclarée, la date de naissance, les types d'appareils utilisés pour accéder à Facebook, niveau d'éducation, travail, les 10 derniers lieux dans lesquels ils ont ouvert ou ajouté des tags, site Web, les personnes ou les pages qu'ils suivent et les 15 recherches les plus récentes. Les hackers n’ont pas pu voler les informations des 1 million de comptes restant avant que les ingénieurs de Facebook n’aient mis fin à l’attaque.

Selon Facebook, l’attaque n’a pas eu raison de Messenger, Messenger Kids, Instagram, WhatsApp, Oculus, Workplace, les applications tierces, les comptes publicitaires ou de développeur.

Facebook invite les utilisateurs à vérifier ici, si leurs comptes ont été affectés et promet d’informer les 30 millions de personnes par messages « pour leur expliquer les informations auxquelles les assaillants auraient pu accéder, ainsi que les mesures à prendre pour se protéger, notamment contre les courriels, les SMS ou les appels suspects. »

Source : Facebook

Et vous ?

Qu’en pensez-vous ?
Avez-vous déjà vérifié que votre compte a été atteint ?
Que feriez-vous si vous figurez parmi les 14 millions de personnes les plus touchées ?

Voir aussi

L'UE ouvre une enquête après la faille de sécurité révélée par Facebook, qui a compromis près de 50 millions de comptes Facebook
Tim Cook affirme qu'abandonner vos données pour de meilleurs services est une véritable pagaille, et suggère une réglementation gouvernementale
Envisageriez-vous de supprimer votre compte Facebook ? Cela vous prendra désormais 30 jours
Un hacker dit qu'il va supprimer en direct la page Facebook de Zuckerberg, dans une attaque prévue pour ce dimanche
Et si les internautes stockaient leurs données au lieu de les confier à des entreprises ? L'ambitieux pari de Tim Berners-Lee est baptisé Solid

[benjani13]

Quelques actionnaires spéculateurs se prennent les pieds dans le tapis à cause d'un tweet d'Elon Musk, et Musk est mis à la porte (de façon justifié ou non). Au minimum 14millions de personnes flouées de leur données personnelles, et pas de soucis Zuckerberg reste en place...

[Elros]

Quelques actionnaires spéculateurs se prennent les pieds dans le tapis à cause d'un tweet d'Elon Musk, et Musk est mis à la porte (de façon justifié ou non). Au minimum 14millions de personnes flouées de leur données personnelles, et pas de soucis Zuckerberg reste en place...

Incomparable, Elon Musk s'est fait épingler par le gendarme de la bourse pour une fausse annonce qui a fait baisser l'action Tesla. Ce n'est pas la première qu'il a des problèmes avec la SEC.

Elros

[captaindidou]

mais putain,quand est-ce que vous allez arrêter d'appeler ces gens-là, des hackers ?

Ce sont des crackeurs, des blackhats ou tout simplement des cybervoleurs.

[benjani13]

Incomparable, Elon Musk s'est fait épingler par le gendarme de la bourse pour une fausse annonce qui a fait baisser l'action Tesla. Ce n'est pas la première qu'il a des problèmes avec la SEC.

Je sais bien que l'organisme de contrôle n'est pas le même, et que la faute n'est pas la même. Je met les deux cas côté à côte car cela montre la différence de protection entre des actionnaires et des utilisateurs.

[ddoumeche]

Je n'ai pas suivi l'affaire, mais si le piratage est dû à un manque de rigueur dans sécurité du système, il est logique de faire payer une amende si la faille a donné accès à des données personnelles.

Dans un système non dystopique, ce sont les victimes de l'effraction qui portent plainte et sont protégés.
Nous voila au point évoqué par Uncle Bob Martin où les gouvernements tiennent les dévelopeurs et éditeurs et les développeurs légalement responsables des bugs dans leurs systèmes. Et de la sécurité.