50 millions de compte Facebook compromis

Facebook a été victime d'un incident de fuite d'information le 25 septembre. Environ 50 millions utilisateurs ont été compromis suite à une fuite de jetons d'authentification.

Les attaquants ont exploité une vulnérabilité dans la plateforme de Facebook. Cette vulnérabilité est une combinaison de trois bogues distincts :

  1. Un bogue dans la fonctionnalité "Voir en tant que" permet aux utilisateurs de poster des vidéos.
  2. Un bogue dans la fonctionnalité de chargement de vidéo génère des jetons d'accès ayant des permissions sur l'application mobile.
  3. Un bogue lorsque la fonctionnalité de chargement de vidéo est affichée par la fonctionnalité "Voir en tant que". Elle permet la génération d'un jeton pour la personne dont la vue du profil est vue "en tant que" alors que le jeton devrait être pour la personne utilisant la fonctionnalité "Voir en tant que"

C'est la combinaison simultanée de ces trois bogues qui a permis à l'attaquant de générer des jetons illégitimes.

Facebook a corrigé la vulnérabilité exploitée et a réinitialisé les jetons d'accès des utilisateurs impactés et de 40 millions d'utilisateurs qui ont été sujets d'une recherche "View as" dans l'année précédente.

Cette réinitialisation permet d'éviter que les attaquants puissent se connecter sur Facebook aux comptes dont ils ont obtenu le jeton d'accès. Cependant, si un utilisateur utilise la fonctionnalité "connexion par Facebook" pour se connecter à un site tiers, les attaquants pourraient se connecter à son profil sur ce site s'ils ont réussi à obtenir son jeton d'accès. En effet, ces sites tiers ne vérifient pas forcément la validité des jetons d'accès soumis (s'ils ont expiré ou ont été réinitialisés). Sur ce point, Facebook indique qu'il n'a pas détecté de connexions frauduleuses à des sites tiers.

Par ailleurs, Facebook a notifié la CNIL Irlandaise (DPCI) de cette fuite, comme l'exige le RGPD. La CNIL Irlandaise que cette notification manquait de détails et qu'elle était "inquiète" que "Facebook (ne soit) pas capable de clarifier la nature de la faille et le risque pour les utilisateurs". Le 1er octobre, Facebook a indiqué à la DPCI que 5 millions d'utilisateurs européens seraient impactés.

Pour se protéger contre ce type d'attaque, il est recommandé de mettre à jour les mots de passe régulièrement et suivre les exigences de développement sécurisé des applications afin de minimiser au maximum le risque d'exploitation des vulnérabilités combinées.