Le 28 septembre 2018, Facebook révélait que des attaquants avaient réussi à exploiter une vulnérabilité du site qui leur permettait de prendre en charge les comptes des utilisateurs de Facebook.
Le problème, qui concernait environ 50 millions de comptes Facebook et potentiellement 50 millions de plus, utilisait une vulnérabilité de la fonctionnalité "Afficher en tant que" de Facebook qui permettait aux utilisateurs de Facebook d'afficher leurs pages de profil comme un autre utilisateur.
Les utilisateurs de Facebook doivent sélectionner le menu "trois points" sur leur page de profil et sélectionner l'option "Afficher en tant que" affichée sous forme d'option lorsqu'ils le font.
La société a tourné la fonctionnalité pour le moment. Une notification vous indique que la fonctionnalité a été désactivée pour le moment.
"Aperçu de mon profil" désactivé
La fonctionnalité "Aperçu de mon profil" est temporairement désactivée. Veuillez réessayer plus tard.
Les attaquants ont réussi à obtenir des jetons d'accès permettant à quiconque d'accéder à un compte même sans fournir de mot de passe.
L'analyse de Facebook est en cours à ce stade. La société a réagi rapidement en réinitialisant les jetons d'accès pour les comptes concernés (près de 50 millions d'euros) et en réinitialisant les jetons d'accès pour 40 millions de comptes supplémentaires ayant interagi avec View As au cours de la dernière année.
Les enquêteurs n'ont pas encore déterminé si les comptes ont été mal utilisés ou si des informations ont été utilisées. La société prévoit de mettre à jour la publication officielle de mise à jour de sécurité sur son site Web dès qu’elle disposera de plus d’informations.
Ce que vous voudrez peut-être faire
Les attaquants ont réussi à accéder aux jetons d'accès uniquement. C’est pourquoi Facebook ne recommande pas aux utilisateurs de modifier les mots de passe des comptes, car les attaquants ne se sont jamais procuré les mots de passe des comptes.
La réinitialisation du jeton d'accès bloque l'accès au compte Facebook pour quiconque tente d'y accéder à l'aide de l'ancien jeton d'accès.
Facebook affiche une invite de connexion pour les utilisateurs concernés et une nouvelle connexion au compte génère un nouveau jeton d'accès utilisé à partir de ce moment.
Les utilisateurs de Facebook affectés par le problème reçoivent une notification relative à l'incident lors de la prochaine connexion.
Néanmoins, il y a certaines choses que vous voudrez peut-être faire:
1. Vérifiez les dernières connexions
Accédez à la page //www.facebook.com/settings?tab=security§ion=sessions&view et vérifiez les périphériques et les emplacements répertoriés dans la section "où vous êtes connecté".
Assurez-vous de ne voir que les périphériques et les emplacements correspondant à votre activité. Si vous pensez qu'une session connectée peut être effectuée par un tiers, procédez comme suit:
- Cliquez sur les trois points à droite de cette session.
- Sélectionnez Déconnexion dans le menu.
Si vous souhaitez démarrer en mode minimal, sélectionnez "Se déconnecter de toutes les sessions" à la place pour empêcher tout périphérique répertorié à cet emplacement, sauf le périphérique actif, d'utiliser le jeton d'accès pour accéder à Facebook.
2. Précautions
Facebook prend en charge des options pour mieux sécuriser un compte.
- Recevez des alertes sur les identifiants de connexion non reconnus - Facebook vous avertit lorsqu'il remarque les identifiants de connexion d'appareils ou de navigateurs que vous n'avez pas utilisés auparavant. Assurez-vous que c'est sur.
- Connexions autorisées - Consultez la liste des périphériques sur lesquels vous ne devrez pas utiliser de code de connexion. Supprimez tout appareil ou navigateur de la liste que vous n'utilisez plus ou auquel vous n'avez pas accès.
- Authentification à deux facteurs : ajoute une couche de protection supplémentaire au compte. Nous avons récemment découvert que Facebook utilisera le numéro de téléphone à des fins publicitaires (les annonceurs téléchargent des listes de numéros de téléphone et, si votre numéro de téléphone figure sur cette liste, des annonces de cet annonceur vous seront diffusées).
Si vous avez été affecté par le problème, vous voudrez peut-être aussi faire très attention aux courriels ou aux appels téléphoniques. Si des attaquants avaient accès au compte, ils avaient accès aux courriels, à votre nom et à d'autres informations personnelles qu'ils pourraient utiliser lors d'attaques de phishing ou d'ingénierie sociale ciblées.
