Piratage Facebook : "Il n'y aurait pas pour l'instant de preuve d'accès à des données secrètes ou privées"

Quelque 50 millions de comptes Facebook ont été piratés à la suite d'une faille de sécurité, a révélé vendredi 28 septembre le réseau social. "Il n'y aurait pas pour l'instant de preuve d'accès à des données secrètes ou privées", seules des données publiques "permettant de connaître le nom, la ville et le sexe de l'utilisateur" ont été dérobées, explique sur franceinfo Jean-Marc Manach, journaliste, spécialiste des questions de sécurité informatique et de protection de la vie privée.

franceinfo : Que s'est-il passé ?

Jean-Marc Manach : Facebook a rendu public un problème de sécurité qu'ils avaient découvert mardi, expliqué qu'ils avaient prévenu les autorités américaines mercredi et corrigé le problème jeudi. Du fait, du règlement européen sur la protection des données qui oblige les entreprises à notifier les failles de sécurité dans les 72 heures, ils ont prévenu la CNIL irlandaise, rendu publique l'information et donné deux conférences pour mieux comprendre ce qu'il s'est passé.

Etait-ce un bug ou une attaque ?

Il y a eu une attaque. Ils ont noté une augmentation du trafic assez importante mardi et quand ils ont regardé ce que c'était, ils se sont rendu compte que quelqu'un ou des personnes avaient trouvé trois failles de sécurité dans Facebook qui leur ont permis d'accéder à des données de 50 millions de comptes.

Quels types de données ont été accessibles ?

Il s'agit des données permettant de connaître le nom, la ville et le sexe de l'utilisateur, qui sont des données personnelles, mais qui sont partagées par les utilisateurs eux-mêmes sur leurs profils. Il n'y aurait pas pour l'instant de preuve d'accès à d'autres données personnelles, secrètes ou privées. Mais, ils sont toujours en train d'enquêter pour mesurer l'ampleur des dégâts. Le principal problème qu'ils ont identifié, c'est que comme des utilisateurs se connectent à des applications à partir de Facebook, le bouton Facebook connect pourrait avoir été utilisé par les attaquants. C'est une des grandes questions qui restent.

Qu'a fait Facebook pour régler ce problème ?

Dès jeudi soir, Facebook a déconnecté la possibilité d'utiliser cette faille. Il y a eu une fenêtre d'opportunité de deux jours où les attaquants auraient pu accéder à certaines données, sans qu'on sache lesquelles. La question en suspens c'est est-ce que le fait d'accéder à ces 50 millions de comptes leur donne accès à d'autres applications ? Ce n'est pas encore clair. Mais, on peut imaginer que toutes les applications qui se servent de Facebook connect ont pris leurs précautions.

Comment se fait-il que les données privées, secrètes, n'aient pas été piratées ?

Cela fait des années que dans les entreprises et les sites web qui font les choses sérieusement, les mots de passe ne sont jamais stockés en clair, les numéros de cartes bancaires ne sont jamais stockés en clair, ils sont chiffrés de sorte que seul l'utilisateur puisse y accéder. Un attaquant qui volerait une base de données ne pourrait pas avoir les mots de passe en clair.