Une faille de sécurité touche 50 millions de comptes Facebook

SAN FRANCISCO — Quelque 50 millions de comptes Facebook ont été piratés en raison d'une faille de sécurité, a révélé vendredi le réseau social, à l'image et aux finances déjà sérieusement ébranlées par plusieurs controverses, en particulier autour la protection des données personnelles.

Une énième bévue pour le réseau aux 2,2 milliards d’usagers, qui a fait reculer le titre à Wall Street, qui a fini en repli de 2,59 % à 164,46 $.

«La faille a été réparée hier [jeudi] soir», a indiqué vendredi le patron de Facebook Mark Zuckerberg, lors d’une conférence téléphonique avec des journalistes pour faire le point sur la situation.

«Nous ne savons pas si ces comptes ont été utilisés de façon malveillante», a-t-il expliqué, ajoutant que les investigations étaient en cours pour savoir ce à quoi exactement les pirates avaient eu accès et ce qu’ils en avaient fait.

Selon Facebook, «presque 50 millions de comptes ont été affectés directement», c’est-à-dire que les pirates ont pu accéder à leurs informations figurant sur leurs profils (noms, genre, ville...), grâce au piratage de la fonctionnalité «Voir en tant que», permettant de regarder son propre profil comme si on était un autre utilisateur.

Cette révélation est un énième boulet au pied du groupe et de son tout puissant pdg, qui a déjà dû affronter cette semaine le départ-surprise des deux dirigeants de sa filiale Instagram, sur fond de conflits avec la maison mère.

Mark Zuckerberg a expliqué que la faille avait été découverte mardi : «un attaquant a exploité une vulnérabilité technique pour voler des outils d’accès permettant de se loger dans le compte Facebook d’environ 50 millions de comptes», a-t-il indiqué.

Ces clés (tokens en anglais) permettent de se reconnecter automatiquement à son compte.

À la connaissance de Facebook, qui «travaille» avec le FBI, les pirates ont pu accéder à des données figurant dans les profils, mais sans que l’on sache ce qu’ils en avaient fait ou comptaient en faire.

Les pirates «ont pu utiliser le compte comme s’ils en étaient les titulaires», a relevé Guy Rosen, responsable du «Management produit».

«Nous sommes désolés», a-t-il ajouté, précisant ne pas savoir qui était derrière l’attaque.

Pour autant, selon les premières constatations, les pirates ne se sont, semble-t-il, pas servi de cette faille pour mettre des publications sur les comptes piratés ni accéder aux messages privés.

Les mots de passe n’ont pas été compromis, pas plus que des informations de cartes de crédit, a assuré l’entreprise.

Pour l’heure, Facebook a suspendu la fonctionnalité «Voir en tant que» et a déconnecté les 50 millions de comptes piratés, conduisant leurs titulaires à devoir se connecter à nouveau.

Facebook a étendu cette mesure, «par précaution», à 40 millions de comptes supplémentaires, dont la fonctionnalité «Voir en tant que» a été utilisée récemment.

Ce piratage «montre une nouvelle fois que nous sommes dans une course à l’armement» avec «des attaques constantes» destinées à «voler des informations», a dit Mark Zuckerberg.

Confiance mise à l’épreuve

C’est un nouveau déboire — dont la gravité reste à déterminer précisément — pour le premier réseau social du monde, qui accumule controverses et critiques depuis près de deux ans.

Rohit Chopra, membre de l’agence du régulateur américain du commerce (FTC),a sobrement demandé «des réponses» via son compte Twitter.

«Trop c’est trop», a réagi l’association de défense des droits numériques Fight for the Future, appelant les élus à légiférer.