Le vendredi28 septembre, Facebook a annoncé avoir identifié une faille de sécurité dans environ 50 millions de comptes, qui permettait à des pirates d'exploiter des données sensibles des utilisateurs. Cette violation de données a probablement touché non seulement les utilisateurs de Facebook, mais aussi un vaste réseau d'applications et de services tiers. Les pratiques de Facebook visant à améliorer l'expérience utilisateur en rationalisant les processus de connexion et en intégrant des partenaires tiers à sa plateforme compliquent le processus de gestion des risques. Alors que les consommateurs sacrifient la sécurité des données au profit de l'interconnexion, les vulnérabilités telles que celles découvertes lors de la violation de donnéesdu 28 septembre sont susceptibles de perturber les systèmes à l'échelle mondiale.
Il a été rapporté que des pirates informatiques ont ciblé la fonctionnalité « Afficher en tant que » de Facebook, un code qui permet aux utilisateurs de voir leur profil tel qu'il est affiché aux autres utilisateurs. Des acteurs malveillants ont trompé le système afin qu'il génère ce que l'on appelle un « jeton d'accès », un objet qui comprend l'identité et les privilèges d'un compte utilisateur associé à un processus ou un thread spécifique. Les systèmes utilisent des jetons d'accès pour établir des autorisations tout en contournant les exigences normales de connexion. Après avoir récolté ces jetons, les pirates ont pu non seulement extraire des informations sensibles, mais aussi contrôler les paramètres des profils Facebook. Les responsables ont indiqué que Facebook avait corrigé la faille et réinitialisé plus de 90 millions de clés numériques.
Cette attaque survient alors que le géant des réseaux sociaux mène une campagne pour rétablir sa réputation après le scandale Cambridge Analytica. Dans cette affaire, les données d'environ 87 millions d'utilisateurs auraient été partagées de manière abusive avec le cabinet de conseil politique. Le revers subi par Cambridge Analytica illustre parfaitement l'utilisation abusive des données, puisque le cabinet a collecté des données personnelles en créant une application au sein du système Facebook. Cependant, la faille « access token » s'apparente à une brèche de sécurité, car les pirates ont exploité une vulnérabilité non résolue au sein d'une fonctionnalité. La possibilité non seulement d'extraire des informations, mais aussi de manipuler des profils, indique une attaque bien plus dommageable.
Le PDG de Facebook, Mark Zuckerberg, a déclaré que l'entreprise collaborait avec le FBI pour enquêter sur cette violation. Cependant, ses origines restent inconnues. La Commission irlandaise de protection des données se prépare également à ouvrir une enquête et demande davantage d'informations sur la nature et l'ampleur de l'attaque. Les experts prévoient que l'organisme de réglementation pourrait infliger une amende de 1,63 milliard de dollars à Facebook. Cet événement marque la première fois que la nouvelle version du règlement général sur la protection des données de l'Union européenne sera appliquée pour déterminer les sanctions réglementaires.
Cet incident illustre le risque accru lié aux données que représentent les fonctions d'authentification unique (SSO) conçues pour rationaliser les processus de connexion. Le modèle commercial de Facebook et son utilisation du SSO ont directement élargi l'environnement des menaces. Une fois qu'ils ont obtenu l'accès, les pirates peuvent désormais se déplacer librement non seulement au sein du réseau de l'entreprise piratée, mais aussi dans les applications et les systèmes tiers. Alors que les grandes entreprises de tous les secteurs continuent de mettre en œuvre des mesures visant à améliorer l'expérience utilisateur, le risque pour la sécurité des données devient de plus en plus universel. À des fins de gestion des risques, les utilisateurs ont tout intérêt à faire preuve d'une plus grande discrétion lorsqu'ils publient des informations sensibles, même dans des environnements apparemment sécurisés tels que les groupes privés. La violation des données de Facebook prouve que dans un système de plus en plus interconnecté à l'échelle mondiale, les conséquences d'une violation de données ont peu de chances de rester isolées.
David Sanchez Bornstein est stagiaire en analyse open source chez Prevalent Inc.
Il est étudiant en deuxième année de master
à l'Elliott School of International Affairs, où il se spécialise dans les études de sécurité
et la politique technologique.
À propos de Prevalent
Prevalent aide les entreprises à gérer les risques liés aux tiers. Il s'agit de la seule plateforme unifiée du secteur qui intègre une puissante combinaison d'évaluations automatisées par niveau de risque, de surveillance continue et de partage de preuves pour la collaboration entre les entreprises et leurs fournisseurs. Les informations exploitables de Prevalent fournissent la vision la plus complète du risque fournisseur, créant ainsi une efficacité maximale pour tous les programmes de gestion du risque tiers.
Pour en savoir plus sur la plateforme Prevalent, rendez-vous sur notre page Web.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
