Votre compte sur Facebook - et les sites Web qui utilisent la connexion Facebook - pourraient être compromis. Voici ce que nous savons.

Jaap Arriens / Getty Images

METTRE À JOUR

02 octobre 2018 à 22:46

Dans un article de blog , Guy Rosen, vice-président de la gestion des produits de Facebook, a reconnu que certaines applications tierces utilisant Facebook Login, y compris celles qui n'utilisent pas les SDK Facebook officiels ou qui vérifient régulièrement si les jetons d'accès Facebook sont valides, peuvent toujours exposer les utilisateurs.





'Nous construisons un outil pour permettre aux développeurs d'identifier manuellement les utilisateurs de leurs applications qui peuvent avoir été affectés, afin qu'ils puissent les déconnecter', a écrit Rosen. Il n'a pas mentionné quand l'outil sera disponible.

Facebook a récemment révélé que la sécurité de 50 millions de profils a été compromis lorsque des attaquants ont volé des jetons d'accès qui leur ont permis de s'introduire dans ces comptes.

Facebook a découvert la brèche le mardi 25 septembre et a réinitialisé les jetons d'accès, forçant les utilisateurs à se reconnecter à leurs comptes, le jeudi 27 septembre. La société a révélé l'attaque vendredi dernier.

En plus des comptes Facebook, les jetons d'accès volés peuvent également compromettre des comptes sur tout site Web tiers qui utilise Facebook Login.

Certaines personnes ne savent pas ce que cela signifie pour la sécurité de leurs comptes Facebook, alors voici une ventilation de tout ce que nous savons.

Premièrement, il est probable que la violation vous ait affecté.

Facebook a réinitialisé les jetons d'accès de 50 millions de comptes compromis et, par mesure de précaution, il a réinitialisé 40 millions de comptes supplémentaires qui, selon lui, pourraient avoir été violés.

En réinitialisant les jetons, Facebook a invalidé les jetons volés. Les utilisateurs ont été obligés de saisir à nouveau leurs mots de passe et de se reconnecter à leurs comptes Facebook.

Bien que les utilisateurs de WhatsApp ne soient pas affectés (WhatsApp appartient à Facebook), les utilisateurs d'Instagram pourraient l'être, la société a donc incité les utilisateurs d'Instagram à dissocier et à reconnecter leurs comptes Facebook.

Vous n'avez pas nécessairement besoin de changer votre mot de passe, mais vous devriez vérifier où vous êtes connecté à Facebook.

Un jeton d'accès n'est pas un mot de passe. C'est une chaîne de caractères qui vous permet de rester connecté à Facebook. Les jetons d'accès sont comme des clés numériques, selon Facebook, qui vous permettent de rester connecté à votre compte Facebook même lorsque vous n'utilisez pas activement Facebook, vous n'avez donc pas à ressaisir un mot de passe à chaque visite.

Vous ne pouvez pas faire grand-chose de plus à propos de la violation, puisque Facebook a déjà réinitialisé ces jetons d'accès.

Cependant, vous devriez visiter Facebook Sécurité page des paramètres ( https://www.facebook.com/settings?tab=security ) et consultez la section Où vous êtes connecté. Cliquez sur l'icône à droite pour vous déconnecter de votre compte Facebook sur les appareils inactifs.

Sur un iPhone, vous pouvez accéder à la page Paramètres de sécurité en appuyant sur le menu (en bas à droite), en faisant défiler jusqu'à Paramètres et confidentialité, en sélectionnant Paramètres et en sélectionnant Sécurité et connexion.



Nicole Nguyen / Actualités BuzzFeed

Cela dit, assurez-vous d'avoir un mot de passe fort pour votre compte Facebook et l'authentification à deux facteurs (via une application, pas un message texte) activée.

Voici Plus d'information sur la façon de créer un mot de passe fort (tl; dr - obtenez un gestionnaire de mots de passe et utilisez le générateur de mots de passe du gestionnaire) et configurez une authentification à deux facteurs basée sur l'application.

Vous devez également examiner toutes les applications tierces auxquelles vous utilisez Facebook pour vous connecter. Elles peuvent également être vulnérables.

Dans les paramètres Facebook, accédez à Applications et sites Web pour examiner toutes les applications tierces qui utilisent vos informations d'identification Facebook pour vous connecter. Vous devez révoquer l'autorisation de toutes les applications que vous n'utilisez plus.

En plus de cela, vous devriez vous rendre sur ces comptes et voir s'il y a eu une activité suspecte, a déclaré Jason Polakis, professeur adjoint d'informatique à l'Université de l'Illinois à Chicago. Nouvelles NBC .

En effet, selon Polakis, ces jetons d'accès volés pourraient être utilisés pour se connecter à des comptes sur des sites Web prenant en charge l'authentification Facebook, même si vous n'utilisez pas Facebook comme connexion.

Plus de 160 000 sites Web , y compris BuzzFeed, utilisent actuellement Facebook Login, un outil qui permet aux gens d'utiliser leur profil Facebook pour s'inscrire au lieu de créer un nouveau compte. Il est également appelé authentification unique Facebook (ou Facebook SSO dans le tweet ci-dessous).

jason polakis @jpolakis

Un autre problème très critique mais négligé est que les jetons volés peuvent être utilisés pour accéder au compte d'un utilisateur sur d'autres sites Web qui prennent en charge Facebook SSO * même si l'utilisateur n'utilise pas Facebook SSO * pour y accéder. Cela dépend des implémentations tierces. (6/n)

17:48 - 29 sept. 2018 Répondre Retweet Favori

Dans une série de tweets , Polakis a expliqué que, selon la manière dont ces sites Web ont mis en œuvre la connexion Facebook, les pirates pourraient accéder aux comptes des utilisateurs sur chaque site Web où l'authentification unique Facebook est mise en œuvre.

Dans une déclaration envoyée par e-mail, un porte-parole de Facebook a écrit : Nous fournissons les meilleures pratiques aux développeurs qui utilisent Login et les SDK, qui les aident à détecter les déconnexions forcées comme celles que nous avons faites la semaine dernière pour protéger les personnes. Nous préparons des recommandations supplémentaires pour tous les développeurs répondant à cet incident et pour protéger les personnes à l'avenir. Elle a également fourni un lien vers Facebook Sécurité de connexion page pour les développeurs. Airbnb, Tinder, Bumble, Hinge et Getaround - des sites Web qui utilisent Facebook Login - n'ont pas répondu aux demandes de commentaires.

Un porte-parole de Pinterest a déclaré : Nous travaillons activement avec Facebook pour enquêter et déterminer l'impact. Nous tiendrons les utilisateurs au courant s'il y a des mises à jour à connaître.

Un porte-parole de Spotify a commenté que Spotify n'a pas connu de faille de sécurité. Par précaution, les utilisateurs concernés peuvent mettre à jour leur mot de passe Spotify, ou si le compte a été créé via Facebook, le login Facebook via leurs instructions.

Voici ce qui a déclenché la brèche : les attaquants ont exploité une vulnérabilité dans la fonctionnalité Afficher en tant que, qui vous permet de voir à quoi ressemble votre profil pour les autres personnes avec lesquelles vous vous êtes lié d'amitié sur Facebook.

Afficher en tant que est censé être en lecture seule. En d'autres termes, vous ne devriez pas pouvoir interagir avec votre profil dans ce mode. Cependant, dans un cas précis, vous pourriez interagir avec votre propre profil. Une version de View As montrait votre profil tel qu'il apparaîtrait le jour de votre anniversaire. Dans cette version, vous verriez, Écrivez [votre nom] un souhait d'anniversaire.

Facebook a fourni par inadvertance la possibilité de publier une vidéo pour cette version spéciale anniversaire de View As. Ce téléchargeur vidéo a ensuite généré un jeton d'accès dans le code HTML du site Web pour l'utilisateur sous lequel vous visualisiez votre profil.

Cette nouvelle fonctionnalité de téléchargement de vidéo a été introduite en juillet 2017. À la mi-septembre, Facebook a lancé une enquête après avoir découvert un pic d'utilisateurs de la nouvelle fonctionnalité, c'est ainsi qu'il a découvert l'attaque du 25 septembre.

Ce jeton d'accès est ce qui a permis aux attaquants de s'emparer de votre compte.

Ces jetons d'accès peuvent également être utilisés pour obtenir un contrôle complet des comptes Facebook, mais Facebook dit qu'une enquête initiale n'a pas montré que les jetons ont été utilisés pour accéder à des messages ou des publications privés ou pour publier quoi que ce soit sur ces comptes jusqu'à présent.

Facebook n'a toujours aucune idée de qui sont les attaquants, ni où ils sont basés.

Selon Facebook , son enquête n'en est qu'à ses débuts et la société ne sait pas si des comptes ont été effectivement consultés à l'aide de jetons volés.