Facebook n’a trouvé « aucune preuve » que des hackers aient accédé à des applications tierces connectées

Le weekend dernier, lorsque Facebook a découvert une énorme brèche dans ses données – qui compromettait les jetons d’accès de plus de 50 millions de comptes- beaucoup ont craint que les jetons volés puissent avoir été utilisés pour accéder à d’autres services tiers, comme Instagram et Tinder, via la connexion à Facebook.

La bonne nouvelle c’est que Facebook n’a pas « encore » trouvé de preuves que cela se soit produit.

Dans un post de blog publié mardi, le vice président de la sécurité de chez Facebook, Guy Rosen, révélait que les enquêteurs « n’avaient trouvé aucune preuve » que des hackers accédaient à des applications tierces via la fonctionnalité de « connexion avec Facebook ».

«Nous avons analysé nos connexions pour toutes les applications tierces installées ou connectées durant l’attaque découverte la semaine dernière. Les recherches n’ont rapporté aucune preuve que des attaquants avaient eu accès à des applications en utilisant la connexion par Facebook » a déclaré Rosen.

Cela ne veut pas dire que les jetons d’accès volés qui avaient déjà été retirés par Facebook n’entrainent pas de menaces pour les milliers de services tiers utilisant la connexion par Facebook, l’entreprise expliquant que cela dépend de comment les sites web valident les jetons d’accès de leurs utilisateurs.

Les nombreux sites web qui n’utilisent pas les SDK officiels de Facebook pour valider régulièrement les jetons d’accès de leurs utilisateurs pourraient ainsi permettre aux attaquants d’accéder aux comptes des utilisateurs utilisant de jetons d’accès révoqués.

Pour pouvoir aider les sites web dans cette situation, Facebook est entrain de concevoir un outil qui permettra aux développeurs « d’identifier manuellement les utilisateurs de leurs applications qui pourraient être affectés et d’ainsi pouvoir les déconnecter. »

« Tout développeur utilisant notre SDK Facebook officiel – et tous ceux qui vérifiaient régulièrement la validité des jetons d’accès de leurs utilisateurs- étaient automatiquement protégés lorsque nous avons réinitialisé les jetons d’accès » a déclaré Rosen.

Alors que l’entreprise annoncé sa pire brèche de données la semaine dernière, Facebook déclarait que des hackers inconnus avaient exploité une chaine de vulnérabilité dans son code pour voler 50 millions de jetons de compte – des clés digitales qui aident à ce que les utilisateurs restent connectés et qu’ils n’aient pas entrer leurs identifiants de nouveau à chaque fois qu’ils utilisent l’application.

Le géant des réseaux sociaux a résolu le problème jeudi dans la nuit et a déconnecté de force 90 millions d’utilisateurs de leurs comptes, par précaution, en réinitialisant leurs jetons d’accès.

Même après que Facebook ait annoncé qu’il n’y avait aucune preuve que des hackers aient eu accès à des services tiers utilisant la connexion unique par Facebook durant cette attaque de masse, certains de ces services prennent les mesures nécessaires pour protéger leurs utilisateurs.

Par exemple, Uber a fait expirer temporairement toutes les sessions de connexion actives basées sur Facebook après la brèche, et l’entreprise est toujours en train d’enquêter sur cette fuite.

Facebook doit encore découvrir qui sont les attaquants responsables de cette attaque, d’où ils viennent et quelles données ils peuvent avoir volées depuis les 50 millions de comptes utilisateurs Facebook compromis.

La commission de protection des données irlandaises a déclaré que moins de 10% des 50 millions d’utilisateurs (ce qui revient à 5 millions) attaqués durant la brèche étaient basés dans l’Union Européenne, et cette même Union Européenne pourrait demander $1.63 milliard au nom de la Régulation générale  de la Protection des données (GDPR) des états, s’il est découvert que l’entreprise n’avait pas fait assez pour protéger la sécurité des utilisateurs.

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *