La faille de sécurité de Facebook s’est produite en raison de la fonctionnalité non sécurisée « Afficher en tant que ». Selon les experts, le bug a donné aux fraudeurs une chance de prendre le contrôle des comptes des utilisateurs, y compris celui qui appartient à Mark Zuckerberg, le PDG du géant des médias sociaux. Guy Rosen, le vice-président de la gestion des produits chez Facebook, a révélé la faille de sécurité de Facebook « affectant 50 millions de comptes » dans une déclaration officielle qui a été publiée le 28 septembre 2018. Le géant des médias sociaux a immédiatement réglé le problème et informé les forces de l’ordre.
Trois bugs créant la vulnérabilité
La fonction « Voir en tant que » était censée être une interface de visualisation uniquement. Il s’avère qu’un type de compositeur (notamment celui qui permet de poster un souhait de joyeux anniversaire) – « Afficher en tant que » permettait de poster une vidéo. La dernière version de l’uploader vidéo a été présentée en juillet 2017. Il semble qu’il ait généré de manière défectueuse le jeton d’accès qui détenait les autorisations pour la version mobile de l’application Facebook. L’uploader vidéo défectueux est apparu en mode « Afficher en tant que », générant un jeton d’accès pour la personne à qui vous souhaitez afficher votre profil, et non pour vous-même en tant que spectateur.
Le jeton d’accès était disponible dans le code HTML de la page, facilement accessible pour les attaquants. Si vous ne savez pas ce que sont les jetons d’accès, ceux-ci permettent de garder les personnes connectées à la plateforme de médias sociaux. Par conséquent, vous n’avez pas besoin de vous reconnecter encore et encore au quotidien.
Facebook émet de nouveaux jetons d’accès pour 90 millions de comptes
Facebook a déjà réinitialisé les jetons d’accès pour lesdits 50 millions de comptes. En outre, ils ont été réinitialisés pour 40 millions supplémentaires qui n’ont pas été affectés par la faille de sécurité de Facebook. En conséquence, environ 90 millions de personnes devront se reconnecter à leur compte la prochaine fois qu’elles lanceront l’application Facebook. En outre, une notification informant de ce qui s’est passé apparaîtra en haut du fil d’actualité afin que les utilisateurs puissent comprendre la raison de la déconnexion.
