Facebook se fait pirater 50 millions de comptes et s’enfonce dans la crise

Par

Alors que la société paye toujours les conséquences du scandale Cambridge Analytica, elle vient d’annoncer que des pirates avaient réussi à accéder aux comptes de 50 millions d’utilisateurs, et peut-être de 40 millions supplémentaires. Déjà fragilisé et isolé, Mark Zuckerberg va devoir faire face à de nouvelles enquêtes.

Cet article est en accès libre. Découvrez notre offre spéciale ! S'abonner

Facebook poursuivait, lundi 1er octobre, son plongeon en Bourse et s’enfonçait un peu plus dans la crise la plus grave de son existence. Vendredi 28 septembre, après l’annonce par la firme de Mark Zuckerberg de la découverte du piratage de 50 millions de comptes d’utilisateur, son action s’était déjà effondrée de 3 % sur la journée, effaçant ainsi 13 milliards de dollars de sa valeur. Et lundi à l’ouverture de la Bourse, la tendance à la baisse se confirmait encore.

Il est encore trop tôt pour dire jusqu’où ce nouveau scandale entraînera Facebook. Mais il est déjà certain que la faille, révélée à travers un communiqué signé par le vice-président chargé du « management des produits » Guy Rosen, est une véritable catastrophe pour un réseau social déjà mal en point.

Les attaquants ont en fait utilisé trois vulnérabilités liées entre elles et qui, habilement combinées, permettent de prendre le contrôle total d’un compte et donc d’accéder à toutes les informations qu’il contient. Ces failles concernaient le système d’« access token » (« jeton d’accès »), une sorte de clef numérique permettant d’accéder à un compte sans avoir à entrer les identifiants. Ce « token » est généré lorsque l’utilisateur est déjà connecté à son compte Facebook et qu’il en sort, par exemple en cliquant sur un lien ou en accédant à une autre application. Grace à lui, l’utilisateur peut revenir sur le réseau social sans avoir à ré-entrer les identifiants.

Les hackers ont utilisé une vulnérabilité dans une fonctionnalité peu connue de Facebook, « Aperçu de mon profil », désormais désactivée, qui permet de simuler ce que voient les autres utilisateurs sur mon compte. Grace à cette faille, ils ont pu générer à volonté des « access tokens » et être connectés aux comptes visés, sans même avoir besoin des identifiants. Les trois failles existaient depuis le mois de juillet. Mais ce n’est que jeudi dernier que les ingénieurs de Facebook les ont détectées, en raison de leur exploitation massive, probablement par un groupe de hackers. Depuis, 90 millions d’utilisateurs ont été déconnectés du réseau social : les 50 millions de victimes avérées et 40 millions de victimes potentielles.

Mark Zuckerberg lors du Mobile World Congress en février 2016 à Barcelone. © Facebook Mark Zuckerberg lors du Mobile World Congress en février 2016 à Barcelone. © Facebook

L’ampleur du désastre reste donc encore à évaluer. D’autant plus que les hackers ont pu, en théorie, accéder à d’autres applications si l’utilisateur utilisait son compte Facebook pour s’y connecter, telles que Spotify, Tinder ou encore Instagram. Les investigations annoncées par la société devront également déterminer l’identité des auteurs de l’attaque et leurs motivations. Un ancien employé de la division sécurité de Facebook, Zac Morris, a expliqué au site Motherboard que les trois failles utilisées avaient une valeur d’environ 30 000 dollars sur le marché des vulnérabilités, où des sociétés spécialisées achètent les failles qui leur sont signalées. Si les pirates ont préféré les utiliser, c’est qu’ils « devaient avoir un meilleur moyen de les monétiser, et c’est un peu effrayant », explique Zac Morris.

Plusieurs journaux américains ont également souligné que cette affaire intervenait quelques mois après l’entrée en vigueur d’un nouveau règlement européen sur la protection des données personnelles (RGPD), renforçant les obligations des plateformes en matière de sécurité et de transparence et alourdissant fortement les sanctions en cas de manquement. Ainsi, un défaut de sécurisation de ses outils ou un manque d’information des utilisateurs pourrait valoir à Facebook une amende allant jusqu’à 1,63 milliard de dollars.

Le fondateur de Facebook Mark Zuckerberg, qui fait partie des victimes du piratage tout comme la numéro 2 de la société Sheryl Sandberg, a tenu une conférence de presse vendredi au cours de laquelle il a expliqué ne pas savoir si les hackers avaient aspiré des données ou pris le contrôle effectif de certains comptes. « Nous continuons à améliorer nos défenses. Nous faisons l’objet d’attaques constantes de la part de gens qui tentent de pirater des comptes ou de récupérer des informations personnelles », a notamment déclaré Mark Zuckerberg.

Il est également difficile d’évaluer les dégâts que causera cette nouvelle affaire à Facebook, qui n’a toujours pas fini d’encaisser le choc causé par le scandale de Cambridge Analytica. Au mois de mars dernier, la presse britannique et américaine avait révélé comment cette société, accusée d’avoir manipulé l’opinion publique durant la campagne présidentielle américaine, avait détourné le système d’application de Facebook pour aspirer les données de plus de 80 millions de comptes.

Pour la première fois depuis la création de son entreprise, Mark Zuckerberg avait été contraint de venir s’expliquer devant le Congrès américain, tandis que des enquêtes étaient ouvertes un peu partout dans le monde. Mais surtout, cette affaire a ouvert une crise de confiance extrêmement profonde entre Facebook d’un côté et ses utilisateurs, les pouvoirs publics et les marchés financiers de l’autre.

Au mois de juillet dernier, la firme a publié des résultats financiers particulièrement décevants pour les analystes. Si le nombre global d’utilisateurs était toujours en hausse, celui-ci stagnait en Amérique du Nord, à 185 millions, mais surtout reculait en Europe, passant à 279 millions contre 282 millions au trimestre précédent. Dans les heures qui avaient suivi la publication de ces résultats, l’action de Facebook avait une nouvelle fois chuté de 24 % à la Bourse.

Mark Zuckerberg, de son côté, semble de plus en plus isolé. Le 26 septembre, le cofondateur de WhatsApp – racheté en 2014 par Facebook pour 16 milliards de dollars – Brian Acton a annoncé son départ de la société en étalant ses divergences avec Zuckerberg. Quelques semaines auparavant, Brian Acton avait même publié un tweet de soutien au mouvement #DeleteFacebook (#EffacezFacebook), appelant les utilisateurs à supprimer leur compte. Et le 24 septembre, ce sont les deux cofondateurs d’Instagram, Kevin Systrom et Mike Krieger, qui avaient annoncé leur départ, cette fois sans en donner les raisons.

Alors qu’il se débat encore avec les conséquences de l’affaire Cambridge Analytica, Mark Zuckerberg va maintenant devoir répondre aux différentes enquêtes qui ne manqueront pas d’être lancées. Aux États-Unis, le sénateur Mark Warner a déjà estimé qu’une « enquête complète devrait être conduite rapidement et rendue publique afin que nous puissions mieux comprendre ce qu’il s’est passé ». Ce piratage, a ajouté l’élu, « est un autre indicateur que le Congrès doit intensifier son travail et prendre des mesures pour protéger la vie privée et la sécurité des utilisateurs des réseaux sociaux ».

Prolongez la lecture de Mediapart Accès illimité au Journal contribution libre au Club Profitez de notre offre spéciale