Alors que Facebook tente tant bien que mal de redorer son blason après le scandale ‘Cambridge Analytica’ et de convaincre les dirigeants politiques qu’il est fin prêt pour préserver l’indépendance des élections sur sa plate-forme (EUROPE 12097), le réseau social est maintenant victime d’un piratage informatique ayant autorisé l’accès à près de 50 millions de comptes.
Le patron du géant américain des réseaux sociaux a en effet annoncé, vendredi 28 septembre, le piratage de la fonctionnalité « voir en tant que », rendu possible par l’exploitation de plusieurs anomalies. « La faille a été réparée hier [jeudi] soir », a-t-il assuré lors d’une conférence téléphonique avec plusieurs journalistes.
Pour l’heure, Facebook ne sait pas grand-chose de l’attaque. « Nous venons de commencer notre enquête et nous n’avons pas, à ce stade, déterminé si ces comptes ont été utilisés à mauvais escient ou si les auteurs de l’attaque ont accédé à des informations. Nous ne savons pas non plus qui est derrière ces attaques ni d’où elles proviennent. Nous travaillons d’arrache-pied pour comprendre cela plus en profondeur », a déclaré Guy Rosen, en charge du ‘Management Produit’ chez Facebook.
Du côté de l’UE, la tension est palpable. « J'invite Facebook à coopérer pleinement avec l’autorité irlandaise de protection des données. Nous devons savoir si les utilisateurs de l'UE ont été touchés et ce qu'il est advenu de leurs données », a réagi, dimanche, la commissaire européenne à la Justice, Věra Jourová, sur son compte Twitter.
De son côté, l’Autorité irlandaise de protection des données a fait savoir qu’elle attendait d’urgence des clarifications de la part de Facebook, y compris le nombre d’utilisateurs européens qui auraient potentiellement été affectés, afin d’évaluer correctement « la nature de la violation et le risque pour les utilisateurs ».
Ce nouveau coup de massue pour le réseau social est en effet bien différent du scandale ‘Cambridge Analytica’. Outre la différence en termes de nature de la violation, elle serait a priori intervenue après l’entrée en vigueur du règlement général sur la protection des données (RGPD), le 25 mai dernier.
Selon les nouvelles règles, Facebook disposait donc de 72 heures maximum pour notifier cette violation, après en avoir pris connaissance, à l’Autorité irlandaise - chose qui a été faite, a assuré Guy Rosen. Le réseau social est par ailleurs tenu d’informer les personnes affectées et s'expose à une amende salée en cas de non-respect des règles européennes.
Cette attaque a exploité « l’interaction complexe de multiples anomalies », a expliqué le réseau social. Un « pic d’activité » suspect aurait été détecté le 16 septembre et, après une enquête interne, le défaut aurait été identifié mardi 25 septembre dans l’après-midi.
En cause, un changement de code apporté à la fonction de téléchargement de vidéos en juillet 2017, qui aurait eu un impact sur l’outil « Voir en tant que » (‘View As’), une fonctionnalité qui permet aux utilisateurs de voir à quoi ressemble leur profil pour d’autres personnes.
Entre jeudi 27 et vendredi 28 septembre, Facebook a ainsi désactivé les jetons d’accès, permettant une connexion automatique sans avoir à entrer son mot de passe, des 50 millions de comptes concernés ainsi que, par précaution, de 40 millions d’autres pour lesquels l’outil a récemment été utilisé, invitant 90 millions d’utilisateurs à devoir se reconnecter au réseau. L’outil « Voir en tant que » est désactivé jusqu’à nouvel ordre, indique le réseau social, qui collabore avec le FBI américain pour identifier les responsables. (Marion Fontana)