Faille Facebook liée aux jetons d'accès : en Europe, près de 3 millions de compte seraient concernés !

Alors que l'affaire Cambridge Analytica semblait presque estompée, de bévue en bévue, Facebook affronte désormais les répercussions éventuelles liées au bug des jetons d'accès, survenu le 25 Septembre 2018 ; étaient compris, pas moins de 29 millions de comptes dont environ 10 % concerneraient des utilisateurs Européens du réseau numéro un mondial.

 

 

"Les auteurs de l’attaque ont exploité une vulnérabilité du code de Facebook qui a eu un impact sur « Voir en tant que » (“View As”), une fonctionnalité qui permet aux gens de voir à quoi ressemble leur profil pour d’autres personnes. Cela a permis aux malfaiteurs de voler des jetons (ou tokens) d’accès Facebook, qu’ils pouvaient ensuite utiliser pour prendre le contrôle des comptes des gens. Les jetons d’accès sont l’équivalent de clés numériques qui permettent aux gens de rester connectés à Facebook sans avoir à saisir à nouveau leur mot de passe à chaque fois qu’ils utilisent l’application", expliquait, alors, fin Septembre dernier, la plate-forme sociale. A ce moment, 50 millions de comptes étaient susceptibles d'avoir été ainsi ciblés.

Retournement de situation, de chiffres en aiguille, le 12 Octobre 2018, Facebook communique, plutôt, sur une valeur estimée à 30 millions de comptes-utilisateurs affectés par cette faille sécuritaire : "Pour 15 millions de personnes, les assaillants ont accédé à deux types d’informations : le nom et les coordonnées (numéro de téléphone, adresse électronique, ou les deux, selon ce que les personnes avaient sur leur profil). Pour 14 millions de personnes, les assaillants ont eu accès aux deux mêmes types d’informations, ainsi qu’à d’autres détails figurant dans leur profil. Cela incluait le nom d'utilisateur, le sexe, le lieu / la langue, le statut de la relation, la religion, la ville natale, la ville actuelle déclarée, la date de naissance, les types d'appareils utilisés pour accéder à Facebook, à l'éducation, au travail, les 10 derniers lieux dans lesquels ils ont ouvert ou marqué, les personnes ou les pages qu'ils suivent et les 15 recherches les plus récentes. Pour 1 million de personnes, les attaquants n’ont eu accès à aucune information" ; Moins les 1 millions non-affectés, cela donnait les 29 millions de profils concernés, actuellement.

 

Mark Zuckerberg, fondateur et PDG actuel de Facebook.

 

Selon les propos récents recueillis par la CNBC auprès de la CNIL Irlandaise (l'Irish Data Protection Commission), 10 % de ces 29 M seraient relatifs à la part Européènne, soit 2,9 millions (ou 3 M, si on arrondis !). Alors que la CNIL - Française - vient de faire son premier bilan le 16 Octobre 2018, elle rappelle, au passage que les entreprises appliquant le RGPD ont une obligation de notification pour tout type d'évènement contraire au respect dudit règlement et, ce, dans les 72 heures. Au-delà de ce temps, Facebook pourrait être "passible d’une amende de 10 millions d’euros ou 2% du chiffre d’affaires" ; jusqu'à 4 % du chiffre d'affaire, selon le contexte revendiqué juridiquement et selon les dispositions de l'article 83... A suivre !

 

Source : Facebook - Page informative sur les jetons d'accès et test de compromission du compte.