Les problèmes de confidentialité de Facebook ont considérablement augmenté vendredi lorsque le réseau social a révélé qu’un problème de sécurité sans précédent, découvert le 25 septembre, avait touché près de 50 millions de comptes d’utilisateurs. Contrairement au scandale Cambridge Analytica, dans lequel une société tierce avait accédé à tort à des données qu’une application de quiz alors légitime avait siphonné. Cette vulnérabilité permettait à des attaquants de prendre directement le contrôle de comptes d’utilisateurs.
Tout ce que nous savons sur la brèche de sécurité massive de Facebook
Le bug des 50 millions s’agit de la deuxième faille de sécurité révélée par Facebook ces derniers mois. En juin, la société a annoncé la découverte d’un souci qui permettait à tout le monde de publier 14 millions de messages postés publiquement pendant des jours. C’est la première fois dans l’histoire de Facebook que les comptes d’ensemble des utilisateurs ont peut-être été compromis par des pirates informatique externes. Sa réponse à cette vulnérabilité, ainsi que la rapidité et la portée des informations importantes à venir, revêtiront probablement une importance considérable. Encore une fois, tous les yeux sont rivés sur Mark Zuckerberg.
Les bugs qui ont permis l’attaque ont depuis été corrigés, selon Facebook. La société affirme que les attaquants pourraient tout voir dans le profil de la victime, même s’il est encore difficile de savoir si cela inclut des messages privés, ou si l’une de ces données a été utilisée à mauvais escient. Dans le cadre de cette solution, Facebook a automatiquement déconnecté 90 millions d’utilisateurs Facebook de leurs comptes vendredi matin, ce qui représente à la fois les 50 millions d’utilisateurs connus de Facebook, et les 40 millions supplémentaires qui auraient potentiellement pu l’être. Plus tard vendredi, Facebook a également confirmé que les sites tiers auxquels ces utilisateurs se connectent avec leur compte Facebook pourraient également être affectés.
Facebook indique que les utilisateurs affectés verront un message en haut de leur fil d’actualité sur le problème lorsqu’ils se reconnecteront au réseau social. « Votre vie privée et votre sécurité sont importantes pour nous », lit-on dans la mise à jour. « Nous voulons vous informer des mesures prises récemment pour sécuriser votre compte. » Le message est suivi d’une invitation à cliquer pour obtenir plus de détails. Si vous n’étiez pas déconnecté, mais que vous souhaitiez prendre des mesures de sécurité supplémentaires, vous pouvez consulter cette page pour connaître les emplacements où votre compte est actuellement connecté et les déconnecter.
Facebook n’a pas encore identifié les hackeurs, ni leur origine. « Nous ne le saurons peut-être jamais », a déclaré vendredi Guy Rosen, vice-président des produits de Facebook, lors d’un appel téléphonique aux journalistes. La société collabore actuellement avec le Federal Bureau of Investigation (FBI) pour identifier les agresseurs. Un pirate taïwanais nommé Chang Chi-yuan avait promis cette semaine de retransmettre en direct la suppression du compte Facebook de Mark Zuckerberg, mais Rosen a déclaré que Facebook ne « savait pas que cette personne était liée à cette attaque ».
Facebook peut également faire face à une surveillance sans précédent en Europe, où le nouveau règlement général sur la protection des données, ou RPGD, impose aux entreprises de divulguer une violation à une agence européenne dans les 72 heures suivant son apparition. En cas de risque élevé pour les utilisateurs, le règlement exige également qu’ils soient notifiés directement. Facebook affirme avoir informé la commission irlandaise de la protection des données de ce problème.
