Facebook : 5 choses à savoir sur le piratage des clés d'authentification

Le mois européen de la cybersécurité commence sur les chapeaux de roue avec...l’annonce du piratage de 50 millions de comptes utilisateurs Facebook!. En cause : une fonctionnalité créant une vulnérabilité concernant une clé numérique d'authentification - un jeton d'accès - permettant de laisser les comptes Facebook connectés sans avoir besoin d'entrer de mot de passe. Par mesure de sécurité, Facebook a pris soin de déconnecter les sessions de 40 millions d'utilisateurs supplémentaires ayant utilisé la fonctionnalité. Votre compte a été déconnecté ? Quelles sont les conséquences ? Voici en 5 points tout ce que vous devez savoir sur cette attaque.

Partager
Facebook : 5 choses à savoir sur le piratage des clés d'authentification
Capture d'écran de la page d'identification Facebook.

surDans l’après-midi du 25 septembre, les équipes du réseau social Facebook ont découvert une faille de sécurité touchant près de 50 millions de comptes, dont une partie en France. Pour le moment, toutes les informations concernant cette attaques n’ont pas été dévoilées. Facebook affirme avoir fait le nécessaire pour résoudre ce problème : la vulnérabilité a été patchée et les comptes utilisateurs touchés (et d’autres) ont dû se reconnecter à leur session.

Cet article sera mis à jour au fil des déclarations de Facebook.

1. Une vulnérabilité introduite en 2017

Vendredi 27 septembre, Facebook annonce avoir été victime d’une attaque exploitant une vulnérabilité du code Facebook introduite en juillet 2017 avec un « uploader » de vidéo sur la fonctionnalité « Voir en tant que » permettant aux gens de voir à quoi ressemble leur profil selon les utilisateurs. Celle-ci a permis aux attaquants de voler les jetons (ou tokens) d’accès aux comptes Facebook de 50 millions d’utilisateurs. Aucun mot de passe n’a été usurpé, car ce jeton d’accès est une clé numérique qui permet de rester connecté à Facebook à chaque ouverture de l’application, sans entrer à chaque fois le mot de passe. Certaines parties du site utilisent un mécanisme d’authentification unique - SSO, pour single sign-on - qui crée un nouveau jeton d’accès pour l’ouverture de certaines parties de Facebook dans un navigateur, sans avoir besoin de vous connecter.

Selon Julien Cassignol, ingénieur avant-vente senior chez OneIdentity, ce jeton d’accès concerne également les sites tiers : « Quand on est sur un site qui utilise l’authentification Facebook, on consomme une identité : ce même jeton va permettre de véhiculer l’identité de l’utilisateur de Facebook à un service B. Et à partir du moment où on est capable de reproduire l’authentification, on est capable de se faire passer pour vous et d’accéder à tous les services s'appuyant sur cette authentification Facebook. » Ce standard, nommé OAuth, permet d’utiliser l’identité d'un utilisateur connu d’un site web pour le compte d’un autre site web. En d’autres termes, de déléguer l’autorisation et la gestion de l'identité. « Pour vous donner un exemple, c’est comme si je vous donnais la clé de chez moi pour arroser les plantes : si cette clé passe partout, je ne peux pas contrôler ce que vous en faites. Si on limite les accès c’est bien. Si on a des craintes, il faut déconnecter cette relation. » Ce type de connexion à plusieurs services, l’Etat s’en sert également - France Connect - pour les impôts, la carte grise, la carte d’identité, etc. avec le protocole Open ID.

2. Le responsable : un « uploader » de vidéo

En intégrant un nouveau service - l’uploader de vidéo - Facebook a créé trois bugs en lien avec sa fonctionnalité « Voir en tant que ». C’est l’interaction de ces trois bugs qui a ouvert une brèche aux attaquants. Le premier bug : lors de l’utilisation de « Voir en tant que », l’intégrateur de vidéo ne devait pas apparaître. Dans certains cas spécifiques, comme les messages d’anniversaire, celui-ci est apparu. Le deuxième bug : la fonctionnalité vidéo utilisait de manière incorrecte l’authentification unique et générait un jeton d’accès doté des autorisations de l’application mobile Facebook. Troisième bug : lorsque l’intégrateur de vidéos apparaissait lors de l’utilisation du service « Voir en tant que » et qu’il générait un jeton d’accès, celui-ci a été généré non pas pour vous mais pour l’utilisateur que vous recherchiez.

3. 90 millions d’utilisateurs touchés

Le nombre exact de personnes concernées est difficile à préciser pour le moment : Facebook a engendré la déconnexion forcée de ces 50 millions de comptes touchés, ainsi que 40 millions autres utilisateurs - par « sécurité » - qui auraient utilisé cette fonctionnalité l’année dernière. Vendredi 27 septembre, certains utilisateurs Facebook (en France également) ont été déconnectés et ont dû s’authentifier à leur compte Facebook.

4. Aucune information sur les potentielles données dérobées

Pour le moment, aucune information n’a été révélée par Facebook sur la nature des données récupérées. Quoi qu’il en soit, dans le cas de vol, « sur cette typologie d’accès, les données personnelles peuvent être revendues, ajoute Julien Cassignol. La somme peut être dérisoire ou importante. Et Facebook n’a la vue que sur ses propres données, et non sur les services tiers. » Si celles-ci sont bel et bien vendues, un organisme de surveillance de la vie privée de l'Union Européenne pourrait appliquer à Facebook une amende de 1,63 milliard de dollars pour violation des données, estime The Wall Street Journal.

5. L'authentification multi-facteurs renforce la sécurité

Même s’il est plus pratique d’avoir une même authentification pour plusieurs sites (comme le proposent certains sites en vous identifiant avec votre compte Facebook : Spotify, Steam, etc.), il est nécessaire de ne pas avoir une seule et même identité pour différents sites. « Il faut limiter la possibilité que quelqu’un puisse faire quelque chose à notre place », insiste Julien Cassignol. « Certains sites proposent de l’authentification multi-facteurs. C’est le cas de Facebook, mais le service doit être activé. » Il procède alors comme le fait une banque en vous envoyant un code par sms, pour vérifier par un autre moyen que vous êtes bien à l’origine de l’authentification en cours sur tel site.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'hebdo de la techno

Nos journalistes sélectionnent pour vous les articles clés de l'innovation technologique

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

LES ÉVÉNEMENTS L'USINE NOUVELLE

LES PODCASTS

Les recettes de l'horlogerie suisse

Les recettes de l'horlogerie suisse

Nouveau

Dans ce nouvel épisode de La Fabrique, notre journaliste Gautier Virol nous dévoile les coulisses de son reportage dans le jura suisse au coeur de l'industrie des montres de luxe. 

Écouter cet épisode

Le rôle des jeux vidéo dans nos sociétés

Le rôle des jeux vidéo dans nos sociétés

Martin Buthaud est docteur en philosophie à l'Université de Rouen. Il fait partie des rares chercheurs français à se questionner sur le rôle du jeu vidéo dans nos...

Écouter cet épisode

Les coulisses d'un abattoir qui se robotise

Les coulisses d'un abattoir qui se robotise

Dans ce nouvel épisode de La Fabrique, Nathan Mann nous dévoile les coulisses de son reportage dans l'abattoir Labeyrie de Came, dans les Pyrénées-Atlantiques, qui robotise peu à peu...

Écouter cet épisode

La renaissance des montres Kelton

La renaissance des montres Kelton

Le designer Vincent Bergerat donne une nouvelle vie aux montres Kelton. Dans ce nouvel épisode du podcast Inspiration, il explique au micro de Christophe Bys comment il innove et recrée l'identité...

Écouter cet épisode

Tous les podcasts

LES SERVICES DE L'USINE NOUVELLE

Trouvez les entreprises industrielles qui recrutent des talents

BUREAU VERITAS

Auditeur QSE (F-H-X)

BUREAU VERITAS - 23/06/2022 - CDI - Lille

+ 550 offres d’emploi

Tout voir
Proposé par

Accédez à tous les appels d’offres et détectez vos opportunités d’affaires

13 - SEMISAP

Entretien des réseaux d'assainissement du patrimoine immobilier de la SEMISAP

DATE DE REPONSE 01/01/1970

+ de 10.000 avis par jour

Tout voir
Proposé par

ARTICLES LES PLUS LUS