Nous suivre Industrie Techno

Facebook : 5 choses à savoir sur le piratage des clés d'authentification

Facebook : 5 choses à savoir sur le piratage des clés d'authentification

Capture d'écran de la page d'identification Facebook.

Le mois européen de la cybersécurité commence sur les chapeaux de roue avec...l’annonce du piratage de 50 millions de comptes utilisateurs Facebook!. En cause : une fonctionnalité créant une vulnérabilité concernant une clé numérique d'authentification - un jeton d'accès - permettant de laisser les comptes Facebook connectés sans avoir besoin d'entrer de mot de passe. Par mesure de sécurité, Facebook a pris soin de déconnecter les sessions de 40 millions d'utilisateurs supplémentaires ayant utilisé la fonctionnalité. Votre compte a été déconnecté ? Quelles sont les conséquences ? Voici en 5 points tout ce que vous devez savoir sur cette attaque.

surDans l’après-midi du 25 septembre, les équipes du réseau social Facebook ont découvert une faille de sécurité touchant près de 50 millions de comptes, dont une partie en France. Pour le moment, toutes les informations concernant cette attaques n’ont pas été dévoilées. Facebook affirme avoir fait le nécessaire pour résoudre ce problème : la vulnérabilité a été patchée et les comptes utilisateurs touchés (et d’autres) ont dû se reconnecter à leur session.

Cet article sera mis à jour au fil des déclarations de Facebook.

1. Une vulnérabilité introduite en 2017

Vendredi 27 septembre, Facebook annonce avoir été victime d’une attaque exploitant une vulnérabilité du code Facebook introduite en juillet 2017 avec un « uploader » de vidéo sur la fonctionnalité « Voir en tant que » permettant aux gens de voir à quoi ressemble leur profil selon les utilisateurs. Celle-ci a permis aux attaquants de voler les jetons (ou tokens) d’accès aux comptes Facebook de 50 millions d’utilisateurs. Aucun mot de passe n’a été usurpé, car ce jeton d’accès est une clé numérique qui permet de rester connecté à Facebook à chaque ouverture de l’application, sans entrer à chaque fois le mot de passe. Certaines parties du site utilisent un mécanisme d’authentification unique - SSO, pour single sign-on - qui crée un nouveau jeton d’accès pour l’ouverture de certaines parties de Facebook dans un navigateur, sans avoir besoin de vous connecter.

Selon Julien Cassignol, ingénieur avant-vente senior chez OneIdentity, ce jeton d’accès concerne également les sites tiers : « Quand on est sur un site qui utilise l’authentification Facebook, on consomme une identité : ce même jeton va permettre de véhiculer l’identité de l’utilisateur de Facebook à un service B. Et à partir du moment où on est capable de reproduire l’authentification, on est capable de se faire passer pour vous et d’accéder à tous les services s'appuyant sur cette authentification Facebook. » Ce standard, nommé OAuth, permet d’utiliser l’identité d'un utilisateur connu d’un site web pour le compte d’un autre site web. En d’autres termes, de déléguer l’autorisation et la gestion de l'identité. « Pour vous donner un exemple, c’est comme si je vous donnais la clé de chez moi pour arroser les plantes : si cette clé passe partout, je ne peux pas contrôler ce que vous en faites. Si on limite les accès c’est bien. Si on a des craintes, il faut déconnecter cette relation. » Ce type de connexion à plusieurs services, l’Etat s’en sert également - France Connect - pour les impôts, la carte grise, la carte d’identité, etc. avec le protocole Open ID.

2. Le responsable : un « uploader » de vidéo

En intégrant un nouveau service - l’uploader de vidéo - Facebook a créé trois bugs en lien avec sa fonctionnalité « Voir en tant que ». C’est l’interaction de ces trois bugs qui a ouvert une brèche aux attaquants. Le premier bug : lors de l’utilisation de « Voir en tant que », l’intégrateur de vidéo ne devait pas apparaître. Dans certains cas spécifiques, comme les messages d’anniversaire, celui-ci est apparu. Le deuxième bug : la fonctionnalité vidéo utilisait de manière incorrecte l’authentification unique et générait un jeton d’accès doté des autorisations de l’application mobile Facebook. Troisième bug : lorsque l’intégrateur de vidéos apparaissait lors de l’utilisation du service « Voir en tant que » et qu’il générait un jeton d’accès, celui-ci a été généré non pas pour vous mais pour l’utilisateur que vous recherchiez.

3. 90 millions d’utilisateurs touchés

Le nombre exact de personnes concernées est difficile à préciser pour le moment : Facebook a engendré la déconnexion forcée de ces 50 millions de comptes touchés, ainsi que 40 millions autres utilisateurs - par « sécurité » - qui auraient utilisé cette fonctionnalité l’année dernière. Vendredi 27 septembre, certains utilisateurs Facebook (en France également) ont été déconnectés et ont dû s’authentifier à leur compte Facebook.

4. Aucune information sur les potentielles données dérobées

Pour le moment, aucune information n’a été révélée par Facebook sur la nature des données récupérées. Quoi qu’il en soit, dans le cas de vol, « sur cette typologie d’accès, les données personnelles peuvent être revendues, ajoute Julien Cassignol. La somme peut être dérisoire ou importante. Et Facebook n’a la vue que sur ses propres données, et non sur les services tiers. » Si celles-ci sont bel et bien vendues, un organisme de surveillance de la vie privée de l'Union Européenne pourrait appliquer à Facebook une amende de 1,63 milliard de dollars pour violation des données, estime The Wall Street Journal.

5. L'authentification multi-facteurs renforce la sécurité

Même s’il est plus pratique d’avoir une même authentification pour plusieurs sites (comme le proposent certains sites en vous identifiant avec votre compte Facebook : Spotify, Steam, etc.), il est nécessaire de ne pas avoir une seule et même identité pour différents sites. « Il faut limiter la possibilité que quelqu’un puisse faire quelque chose à notre place », insiste Julien Cassignol. « Certains sites proposent de l’authentification multi-facteurs. C’est le cas de Facebook, mais le service doit être activé. » Il procède alors comme le fait une banque en vous envoyant un code par sms, pour vérifier par un autre moyen que vous êtes bien à l’origine de l’authentification en cours sur tel site.

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

Cybersécurité : le talon d'Achille des objets intelligents

Analyse

Cybersécurité : le talon d'Achille des objets intelligents

L’utilisation de la puissance de calcul disponible dans le cloud par l’intelligence artificielle pose des problèmes de[…]

Triton disséqué, drones herculéens, vignoble connecté… les meilleures innovations de la semaine

Triton disséqué, drones herculéens, vignoble connecté… les meilleures innovations de la semaine

Météodrone, robot-insecte, techno et vin … les innovations qui (re)donnent le sourire

Météodrone, robot-insecte, techno et vin … les innovations qui (re)donnent le sourire

Route du Rhum, hydrolienne Sabella, gant haptique … les meilleures innovations de la semaine

Route du Rhum, hydrolienne Sabella, gant haptique … les meilleures innovations de la semaine

Plus d'articles