Les difficultés s’accumulent pour Facebook. « Tant que Facebook n’aura pas donné l’intégralité des éléments concernant l’analyse du problème  et comment il a été utilisé par les pirates, on ne pourra pas » mesurer l’étendue de l’attaque, a déclaré dimanche sur Radio J, Mounir Mahjoubi, le secrétaire d’Etat chargé du numérique. Dans  un post de blog publié vendredi soir, le réseau social aux 2,2 milliards d’utilisateurs a en effet annoncé qu’une faille de sécurité avait permis à des pirates de prendre le contrôle de 50 millions de comptes.

La vulnérabilité, découverte mardi par son équipe d’ingénieurs, a été « réparée » jeudi soir. La firme de Menlo Park a ouvert une enquête et alerté les autorités, dont le FBI. La société a aussi pris des « mesures de précaution » en déconnectant automatiquement de leurs comptes 90 millions d’utilisateurs jeudi soir. « Nous prenons cette affaire très au sérieux », a indiqué Mark Zuckerberg, lors d’une conférence téléphonique avec des journalistes vendredi.

Nom, ville de naissance, genre…

Le niveau d’accès et de contrôle exercé par les pirates reste pour le moment flou. Le PDG de Facebook a indiqué qu’ils n’avaient pas accédé aux échanges privés ni posté de messages à la place des véritables utilisateurs, selon les résultats préliminaires de l’enquête, mais s’est empressé d’ajouter que les conclusions « pourraient changer ». « Jusqu’ici, nous savons qu’ils ont eu accès à des informations publiques comme le nom, la ville de naissance et le genre », a indiqué Mark Zuckerberg.

L’identité des hackers n’est pas encore connue et « pourrait ne jamais l’être », a déclaré Guy Rosen, le vice-président de l’entreprise en charge du management produit, qui a précisé que la complexité de l’attaque indiquait « un certain niveau » de la part des criminels. Géographiquement, leur cible est « assez large », et inclut des citoyens européens, a précisé le dirigeant. L’agence irlandaise de protection des données a été notifiée.

Vulnérabilité de « view as »

Les attaquants ont exploité une vulnérabilité de la fonctionnalité « Aperçu du profil en tant que » (« view as ») qui permet aux usagers de voir leur page tel qu’elle apparaît à des tiers. Celle-ci leur a permis de débloquer des jetons d’accès, des sortes de clés numériques permettant aux utilisateurs de se connecter au site sans avoir à saisir leur mot de passe à chaque fois.

Les pirates se sont appuyés sur une « interaction complexe de trois bugs », a expliqué Guy Rosen. La première remonte à une fonctionnalité de téléchargement de vidéos lancée en juillet 2017, mais l’entreprise n’a découvert le problème qu’un an et deux mois plus tard. « Les vulnérabilités de sécurité sont très difficiles à trouver », s’est-il justifié.

90 millions de comptes déconnectés

Le réseau social a pris « plusieurs mesures » pour protéger les utilisateurs. Il a suspendu la fonctionnalité « View as » et réinitialisé les jetons d’accès de 90 millions de comptes – 50 millions de comptes touchés par l’attaque et, par précaution, 40 millions de comptes supplémentaires pour lesquels la fonctionnalité a été utilisée récemment. Les utilisateurs sont informés de la faille par le biais d’un message en haut de leur fil d’actualités quand ils se reconnectent à la plateforme. Leurs mots de passe n’ont pas été affectés et n’ont pas besoin d’être modifiés.

VIDEO. Faille de sécurité, crise de confiance : est-ce la fin du « modèle » Facebook ?

Confiance des utilisateurs

Ce piratage risque d’ébranler encore plus la confiance des utilisateurs, après  le scandale Cambridge Analytica , du nom de cette firme britannique ayant accédé aux données personnelles de 87 millions de profils au printemps, et l’utilisation de la plateforme pour manipuler les électeurs, notamment lors de l’élection présidentielle américaine de 2016.

Au dernier trimestre, la société a annoncé une croissance du parc d’utilisateurs inférieure aux attentes des marchés. Et selon  un récent sondage auprès de 3.413 utilisateurs américains du Pew Research Center , plus d’un quart ont supprimé l’application sur leur téléphone.

Mark Zuckerberg a indiqué que Facebook « devait faire plus pour prévenir ce genre d’attaques en amont », mais a aussi rappelé que « la sécurité était une bataille constante ». La société a précédemment annoncé qu’elle comptait doubler ses équipes de sécurité, pour passer de 10.000 à 20.000 personnes d’ici la fin de l’année.

L’action de Facebook a chuté de 3 % après l’annonce sur la faille de sécurité, mais le cours a regrimpé à la mi-journée. Les marchés semblent avoir été rassurés par la capacité de l’entreprise à réagir rapidement.