Un autre jour, une autre violation de données sur la plate-forme de médias sociaux – bien que celle-ci puisse être la plus importante à ce jour.
Si vous n’avez pas été à l’écoute de la presse technologique, voici un aperçu de la dernière violation de données de Facebook, de ce à quoi les pirates ont potentiellement eu accès et de ce que cela pourrait signifier pour le réseau social – et les médias sociaux plus largement – à l’avenir.
Qu’est-il arrivé?
Vendredi vers 2 heures du matin HE, un tas d’utilisateurs de Facebook se sont rendus sur Twitter pour signaler qu’ils avaient été déconnectés au hasard de leurs comptes. Le problème a été le plus largement signalé en Inde (où il était 10h, heure locale), mais ils ont afflué de partout, indiquant qu’un problème important s’était produit.
Peu de temps après, un pirate informatique taïwanais nommé Chang Chi-yuan a annoncé qu’il avait découvert une vulnérabilité dans le code de Facebook, qu’il utiliserait dimanche pour se connecter au compte du PDG de Facebook Mark Zuckerberg et le supprimer, et qu’il se diffuserait en le faisant. sur Facebook Live.
L’annonce a déclenché une vague d’activités de Facebook, alors que les utilisateurs essayaient de comprendre ce qui se passait exactement et, surtout, si leurs données Facebook étaient en sécurité.
Facebook a ensuite publié une explication officielle sur son blog – le vice-président de la gestion des produits de Facebook, Guy Rosen, a expliqué que, mardi après-midi, Facebook avait identifié « un problème de sécurité affectant près de 50 millions de comptes ».
« Notre enquête n’en est qu’à ses débuts. Mais il est clair que les attaquants ont exploité une vulnérabilité dans le code de Facebook qui a eu un impact « Voir comme », une fonctionnalité qui permet aux utilisateurs de voir à quoi ressemble leur propre profil pour quelqu’un d’autre. Cela leur a permis de voler des jetons d’accès Facebook qu’ils pouvaient ensuite utiliser pour prendre le contrôle des comptes des personnes. Les jetons d’accès sont l’équivalent des clés numériques qui permettent aux gens de rester connectés à Facebook afin qu’ils n’aient pas besoin de ressaisir leur mot de passe à chaque fois qu’ils utilisent l’application.
Pour le contexte, Gabriel Dance du New York Times a fourni cette explication, qui décrit quelles données, potentiellement, les pirates pourraient être en mesure d’obtenir à partir des types de jetons d’accès en discussion.
re: l’annonce de fb de 50 millions de jetons d’accès compromis… voici un bref aperçu de la façon dont nous avons utilisé UN jeton d’accès pour acquérir des informations détaillées sur 556 amis d’un utilisateur, et des identifiants uniques (utiles pour récupérer et combiner des informations) sur plus de 294 000 autres. le tout avec un seul jeton. pic.twitter.com/Tjo3Di7qAB
– gabriel dance (@gabrieldance) 28 septembre 2018
En tant que telle, cette brèche pourrait potentiellement être beaucoup plus importante que le scandale Cambridge Analytica, qui utilisait les autorisations des utilisateurs et n’impliquait pas de chercheurs prenant en charge les comptes d’utilisateurs.
Comme l’a noté Dance, alors que seulement 50 millions ont été directement touchés (remarque : Facebook a également déconnecté 40 millions de plus pour être sûr), les implications plus larges de l’accès aux données pourraient être énormes, selon la façon dont les pirates ont abordé le processus.
Facebook a maintenant informé que la violation a été corrigée, les autorités compétentes ont été informées et que les utilisateurs concernés verront cette notification en haut de leur fil d’actualité lorsqu’ils se reconnectent.
On ne sait pas qui a pu être impliqué dans le piratage, bien que Facebook ait déclaré que l’opération, au plus fort, était « complexe » et a exploité plusieurs bogues qui interagissaient ensemble, ce qui suggère que cela aurait nécessité un haut niveau d’expertise (probablement au-delà de la capacité d’un seul chasseur de primes comme Chi-yuan). Les mots de passe étaient pas volé, et par mesure de précaution, Facebook désactive l’option « Afficher en tant que » sur les profils pendant qu’ils enquêtent.
Qu’est-ce qui a été spécifiquement consulté ?
Pour le moment, nous ne savons pas ce que les pirates cherchaient réellement à voler, ou ont pu prendre à cause de cette faille.
Comme indiqué ci-dessus, théoriquement, ils auraient pu utiliser ce processus pour accéder à un tas de données sur chaque utilisateur concerné, et s’ils l’avaient fait pendant quelques jours, il est possible que de grandes quantités d’informations personnelles aient été téléchargées. , et pourrait être emballé et vendu sur le dark web.
Potentiellement.
Comme le dit Facebook, personne ne sait, à l’heure actuelle, à quoi a-t-on accédé :
« Étant donné que nous venons tout juste de commencer notre enquête, nous n’avons pas encore déterminé si ces comptes ont été utilisés à mauvais escient ou si des informations ont été consultées. Nous ne savons pas non plus qui se cache derrière ces attaques ni où elles sont basées. Nous travaillons dur pour mieux comprendre ces détails – et nous mettrons à jour ce message lorsque nous aurons plus d’informations ou si les faits changent. De plus, si nous trouvons plus de comptes concernés, nous réinitialiserons immédiatement leurs jetons d’accès. »
Il convient de rappeler que lors de l’enquête de Cambridge Analytica, il a d’abord été signalé que seuls 30 millions de comptes Facebook avaient été touchés, puis Facebook a révisé ce chiffre à 50 millions, puis à 87 millions lors de son rapport au Congrès. Cela, bien sûr, ne veut pas dire que la même chose se reproduira, mais ce ne sont que des chiffres initiaux. Les dégâts pourraient être beaucoup plus étendus, selon la façon dont l’attaque a été menée et pourquoi.
Ce que nous savons, comme l’explique Facebook, c’est que jusqu’à 90 millions de comptes ont été directement touchés, et avec la vulnérabilité désormais corrigée, ils ne peuvent plus être piratés. Nous devrons simplement attendre et voir les détails supplémentaires.
Qu’est-ce que cela signifie pour Facebook ?
Rien de bon.
Depuis la controverse de Cambridge Analytica, Facebook s’est efforcé de réparer son image dans une certaine mesure, avec des recherches montrant que Facebook est désormais l’entreprise la moins fiable parmi les grands géants de la technologie.
C’est un problème lorsque votre entreprise s’appuie sur les données d’audience pour alimenter son système de ciblage publicitaire avancé, et cherche également à déployer des choses comme une nouvelle plate-forme de rencontres et (apparemment) un haut-parleur intelligent, qui apporterait le suivi des données de Facebook directement dans votre domicile.
Apparemment, Facebook avait prévu de lancer son haut-parleur intelligent plus tôt dans l’année, mais a dû retarder en raison de problèmes de confidentialité liés au problème de Cambridge Analytica. Le plan de lancement révisé les aurait vus révéler plus de détails sur leur haut-parleur ‘Portal’ cette semaine – mais alors…
À cet égard, la dernière violation n’aide en rien la réputation de Facebook – mais comme l’a noté Josh Constine de TechCrunch, les implications étendues peuvent être beaucoup plus importantes que cela.
Constine rapporte que le sénateur Mark Warner, un ardent défenseur de la réglementation des réseaux sociaux, a déclaré que :
« C’est un autre indicateur qui donne à réfléchir que le Congrès doit intensifier et prendre des mesures pour protéger la vie privée et la sécurité des utilisateurs des médias sociaux – l’ère du Far West dans les médias sociaux est terminée. »
Le commissaire de la FTC, Rohit Chopra, a également exprimé sa préoccupation :
Je veux des réponses. https://t.co/kZSttt4fmF
– Rohit Chopra (@chopraftc) 28 septembre 2018
Cela pourrait voir Zuck and Co. soumis à des réglementations et des exigences d’exploitation beaucoup plus strictes, ce qui constituerait un changement majeur dans le fonctionnement de Facebook, et probablement des plates-formes sociales au sens large.
La réglementation aurait un coût important pour Facebook, à la fois en termes d’investissement monétaire et d’indépendance, c’est pourquoi l’entreprise s’est efforcée d’éviter cela en fournissant autant d’informations que possible sur ses processus, dans le but d’apaiser les fonctionnaires et de montrer qu’il peut gérer ses affaires.
Mais le flot constant de problèmes de confidentialité continue de couler – cette semaine encore, Gizmodo a signalé que Facebook utilisait les informations de contact des personnes, comme les numéros de téléphone portables téléchargés à des fins de sécurité, comme outil de données pour aider les annonceurs, sans autorisation expresse de l’utilisateur de le faire.
Cela n’a pas l’air bon pour Facebook, et il semble bien qu’une réglementation élargie deviendra une réelle possibilité.
Cela peut prendre des mois pour trier les dégâts laissés à la suite de cette dernière attaque, et vous pouvez vous attendre à des révélations et des révisions en cours pendant cette période. Mais cela pourrait être celui qui pousse les régulateurs à bout – et change les médias sociaux tels que nous les connaissons.
MISE À JOUR : Une autre note importante sur la violation de données (via Will Oremus) :
NEWS : Guy Rosen de Facebook vient de confirmer que la brèche aurait permis aux pirates d’accéder non seulement à votre compte Facebook, mais aussi à vos comptes sur d’autres sites où vous avez utilisé Facebook comme identifiant.
– Will Oremus (@WillOremus) 28 septembre 2018
Plus à venir…
MISE À JOUR (10/3) : Facebook a signalé que son enquête n’a trouvé aucune preuve que les attaquants ont accédé à des applications en utilisant Facebook Login. Ils étudient toujours les autres impacts potentiels.
MISE À JOUR (10/12): Facebook a fourni une autre mise à jour sur leur enquête en cours sur la violation de données et les impacts. Le réseau social dit maintenant que 30 millions de jetons d’accès ont été volés, moins qu’ils ne le soupçonnaient au départ, mais pour ceux qui ont été touchés, un large éventail de données a été consulté. Facebook a également confirmé qu’il s’agissait bien d’une attaque délibérée et a déclaré que tous les utilisateurs concernés recevront une notification sous peu.