Facebook a révélé vendredi une faille de sécurité affectant "presque 50 millions de comptes", qui a permis à des pirates de prendre le contrôle de comptes d'utilisateurs. Des comptes français sont concernés.
Les équipes du réseau social ont "découvert un problème de sécurité affectant près de 50 millions de comptes. Nous prenons cela extrêmement au sérieux", a écrit le groupe dans un communiqué, ajoutant "prendre des actions immédiates". Mais "la faille a été réparée hier (jeudi) soir", a précisé Mark Zuckerberg, le patron du réseau social pendant une conférence téléphonique.
"Nous ne savons pas si ces comptes ont été utilisés de façon malveillante", a-t-il expliqué, ajoutant que les investigations étaient en cours.
La fonction "voir en tant que" au cœur de la faille. La faille a été découverte mardi par Facebook, qui ne sait pas qui est à l'origine de l'attaque. Cette faille de sécurité est notamment liée à plusieurs erreurs dans le code de Facebook sur la fonction "voir en tant que" des profils. Cette fonction permet à un utilisateur de voir son profil comme le verraient certains de ses amis ou le public sans être connecté à Facebook. Selon le réseau social, "presque 50 millions de comptes ont été affectés directement", c'est-à-dire que les pirates ont pu accéder à leurs informations figurant sur leurs profils (noms, genre, ville...).
Les pirates "ont pu utiliser le compte comme s'ils en étaient les titulaires". Mark Zuckerberg a expliqué que la faille avait été découverte après que les équipes techniques du groupe eurent remarqué un "pic d'activité" dans les connexions. "Un attaquant a exploité une vulnérabilité technique pour voler des outils d'accès permettant de se loger dans le compte Facebook d'environ 50 millions de comptes", a-t-il indiqué. Ces outils ("tokens" en anglais) permettent aux usagers de se reconnecter automatiquement à leur compte.
A la connaissance de Facebook, les pirates ont pu accéder à des données figurant dans les profils, mais sans que l'on sache ce qu'ils en avaient fait ou comptaient en faire. Facebook a précisé "travailler" avec la police fédérale américaine, le FBI. Les pirates "ont pu utiliser le compte comme s'ils en étaient les titulaires", a relevé Guy Rosen lors de la conférence téléphonique, haut responsable du groupe, en charge du "Management produit".
Les mots de passe n'auraient pas été compromis. Pour autant, selon les premières constatations du groupe, ils ne se sont, semble-t-il, pas servi de cette faille pour mettre des publications sur les comptes piratés, ni accéder aux messages privés mais le groupe continue à investiguer. Selon le premier réseau social du monde, les mots de passe n'ont pas été compromis, pas plus que des informations de cartes de crédit.
Pour prévenir tout nouveau problème, le réseau social a déconnecté 90 millions de comptes vendredi matin, les utilisateurs concernés devant se reconnecter avec leur mot de passe. La fonction "voir en tant que", a elle été temporairement désactivée.