Vendredi après-midi, le géant des médias sociaux a révélé que certains hackeurs inconnus avaient réussi à exploiter trois vulnérabilités sur son site Web et à voler des données auprès de 50 millions d’utilisateurs.

Ces hackers ont exploité une combinaison de 3 vulnérabilités «0-Day» (inconnu jusqu’à lors) sur sa plateforme de médias sociaux qui leur permettait de voler des jetons d’accès secrets pour plus de 50 millions de comptes.

Ces jetons d’accès (tokens) permettent à un navigateur, un site web et une application de s’authentifier comme l’utilisateur sans demander le mot de passe ou l’adresse email.

Facebook a donc désactivé les jetons volés déconnectant 90 millions d’utilisateurs.

Analyse : 
Il faut savoir que ces jetons d’accès sont l’équivalent des clefs numériques qui permettent aux utilisateurs de rester connectés à Facebook. Ces jetons enlèvent le besoin de ressaisir le mot de passe chaque fois qu’ils utilisent l’application ou vont sur le site internet.

Les mots de passe Facebook n’ont pas été compromis donc ils n’ont pas à être changés ; mais un attaquant qui a un jeton n’a pas besoin de votre mot de passe pour accéder à votre compte, car ce dernier le remplace.

Le hackeur peut utiliser les millions de jetons d’accès secret volé pour extraire très rapidement des informations de chaque compte à l’aide d’une API, sans avoir réellement votre mot de passe ou votre code d’authentification à deux facteurs. Il est important de noter qu’à travers les API (outils d’interactions) de Facebook, les hackeurs pouvaient télécharger un grand nombre d’informations personnel tels que message, viseo et photos. Mais pour l’instant ce n’est pas possible de savoir quel est le nombre d’informations volé et qui sont exactement les victimes…

L’enquête interne de Facebook a révélé une cyberattaque en cours depuis le 16 septembre. La brèche a été détectée assez rapidement par rapport au marcher (plus de 200 jours en moyenne) par l’équipe de sécurité de Facebook qui ont remarqué un pic de trafic inhabituel sur ses serveurs.

Une combinaison de 3 vulnérabilités a été utilisée pour mener cette attaque. 3 vulnérabilités 0-days demandent beaucoup de travail et/ou de budget très élevé. Beaucoup de chercheurs passent Facebook au peigne fin régulièrement pour trouver des vulnérabilités. En posséder 3, qui utilisé ensemble, permettent de mener une attaque fonctionnelle et de grader ces vulnérabilités sous le radar jusqu’à l’exécution de l’attaque n’est pas une simple affaire.

Un des grands problèmes avec cette attaque est que Facebook est souvent utilisé pour authentifier des utilisateurs sur d’autre plateforme avec la fonctionnalité « se connecter à travers de Facebook ». De nombreuses plateformes web utilisent cette fonctionnalité dont certaines sont relativement sensible et critique. sur lesquelles pourrait y avoir des conséquences dramatiques en cas de vol d’identité.

Il semblerait qu’en plus des 50 millions des comptes affectés par cet incident, mais il y a 40 millions de comtes en plus qui ont du subir le « reset » des jetons. Ce serait donc intéressant de savoir pourquoi ces comptes en plus… et est ce qu’il y a plus dans cette attaque qui n’a pas été dévoilée.

Avis personnel : 
On ne sait toujours pas quel est le groupe derrière cette attaque, bien qu’il semblerait qu’ils sont bien financés et bien organisés. Dans ce contexte ces derniers ont dû le faire pour accomplir une mission spécifique : avoir accès a des informations sur une/des personnes clefs, ou avoir accès à un compté lié par Facebook ? On ne saura probablement jamais quels étaient leurs réels objectifs dans cette attaque.

Facebook est sous les radars récemment surtout après l’affaire de Cambridge analytica. De façon générale, Facebook offre une plateforme sécurisée avec un bug-Bounty et met beaucoup d’effort en place pour bloquer les hackeurs. C’est honnêtement difficile de reprocher à Facebook d’avoir été victime de 3 0-days qui ont pu permettre cette attaque.

Mais comme on dit : avec de grands pouvoirs viennent de grandes responsabilités » et en l’occurrence, Facebook ne semble pas avoir été à la hauteur de ces responsabilités….

Par Steven Meyer

Partner and CEO

ZENData Sarl