Security Update
Additional Technical Details
Morning Press Call Transcript
Afternoon Press Call Transcript
By Guy Rosen, VP of Product Management
Dans l’après-midi du mardi 25 septembre, notre équipe d’ingénieurs a découvert un problème de sécurité concernant près de 50 millions de comptes. Nous prenons cela très au sérieux et nous souhaitions vous informer de ce qui s’est produit et des mesures immédiates que nous avons prises pour protéger la sécurité des gens.
Notre enquête en est encore à ses débuts. Mais, il est clair que les auteurs de l’attaque ont exploité une vulnérabilité du code de Facebook qui a eu un impact sur « Voir en tant que » (“View As”), une fonctionnalité qui permet aux gens de voir à quoi ressemble leur profil pour d’autres personnes. Cela a permis aux malfaiteurs de voler des jetons (ou tokens) d’accès Facebook, qu’ils pouvaient ensuite utiliser pour prendre le contrôle des comptes des gens. Les jetons d’accès sont l’équivalent de clés numériques qui permettent aux gens de rester connectés à Facebook sans avoir à saisir à nouveau leur mot de passe à chaque fois qu’ils utilisent l’application.
Voici les mesures que nous avons prises.
Premièrement, nous avons corrigé la vulnérabilité et informé les autorités.
Deuxièmement, nous avons réinitialisé les jetons de sécurité des près de 50 millions de comptes dont nous savons qu’ils ont été touchés pour les protéger. Nous avons également pris la précaution de réinitialiser les jetons d’accès de 40 millions d’autres comptes dont la fonctionnalité “Voir en tant que” a été utilisée au cours de l’année passée. En conséquence, plus de 90 millions de personnes devront se reconnecter à Facebook, ou à leurs applications qui utilisent la connexion Facebook. Après s’être reconnectés, les gens recevront une notification en haut de leur fil d’actualité leur expliquant ce qui s’est produit.
Troisièmement, nous désactivons temporairement la fonction “Voir en tant que” pendant que nous effectuons une vérification de sécurité approfondie.
Cette attaque a exploité l’interaction complexe de multiples anomalies dans notre code. Celle-ci découle d’un changement de code que nous avons apporté à notre fonction de téléchargement de vidéos en juillet 2017, qui a eu un impact sur “Voir en tant que”. Les auteurs de l’attaque n’avaient pas seulement besoin de trouver cette vulnérabilité et de l’utiliser pour obtenir un jeton d’accès, ils ont ensuite dû passer de ce compte à d’autres pour voler plus de jetons.
Nous venons de commencer notre enquête et nous n’avons pas, à ce stade, déterminé si ces comptes ont été utilisés à mauvais escient ou si les auteurs de l’attaque ont accédé à des informations. Nous ne savons pas non plus qui est derrière ces attaques, ni d’où elles proviennent. Nous travaillons d’arrache-pied pour comprendre cela plus en profondeur. Nous mettrons à jour ce post dès que nous aurons plus d’informations, ou si les faits changent. De plus, si nous trouvons plus de comptes affectés, nous réinitialiserons immédiatement leurs jetons d’accès.
La confidentialité et la sécurité des gens sont extrêmement importantes, et nous regrettons que ceci se soit produit. C’est pourquoi nous avons pris des mesures immédiates pour sécuriser ces comptes et informer les utilisateurs de ce qui s’est passé. Personne n’a besoin de changer son mot de passe. Mais, les personnes qui rencontrent des difficultés à se reconnecter à Facebook, par exemple parce qu’elles ont oublié leur mot de passe, peuvent visiter notre Centre d’aide. De plus, si quelqu’un souhaite, par précaution, se déconnecter de Facebook, il peut consulter la section Sécurité et connexion située dans les paramètres de son compte. Dans cette section, sont listés les endroits où les gens sont connectés à Facebook, et en un seul clic, il est possible de se déconnecter de tous.
Télécharger :