Facebook piraté : comment savoir si vous êtes concerné et comment réagir

Les problèmes s'accumulent pour Facebook. Déjà affaibli par l'ingérence russe dans l'élection présidentielle américaine de 2016 et plus récemment par l'affaire Cambridge Analytica, qui a mis en lumière ses manques dans la protection des données personnelles des utilisateurs et lui a attiré les foudres des autorités américaines et européennes, le réseau social a annoncé vendredi 28 septembre avoir été touché par une attaque informatique dont la portée, inédite, reste à déterminer.

Fait rare dans l’histoire du réseau social, les données personnelles d'au moins 50 millions de comptes ont été compromises en raison d'une faille de sécurité. Pour circonscrire la brèche, quelque 90 millions de comptes ont dû être déconnectés. Les accès aux sites tiers connectés via le bouton Facebook Login sont aussi concernés. Facebook mène l'enquête pour connaître les conséquences exactes de ce piratage qui pourrait encore prendre de l'ampleur dans les prochaines heures. Mark Zuckerberg va à nouveau devoir rendre des comptes aux autorités.

Que s'est-il passé ?

Les équipes de Facebook ont appris mardi l'existence d'une faille de sécurité dans la fonctionnalité "Aperçu de mon profil" qui permet de voir à quoi ressemble son compte lorsqu'il est visité par un tiers. Les pirates ont combiné trois vulnérabilités dans le code de la fonctionnalité pour accéder à près de 50 millions de "token", des clés numériques stockées dans les appareils connectés à Facebook pour éviter aux utilisateurs d'avoir à saisir leur mot de passe à chaque fois qu'ils ouvrent l'application sur ces terminaux. 

La faille est depuis corrigée et Facebook a pris des mesures pour sécuriser les comptes impactés en réinitialisant les jetons d'accès. Les 50 millions de comptes directement touchés par le piratage ont été déconnectés automatiquement. Puis le réseau social a étendu la mesure à 40 millions de comptes supplémentaires - dont les comptes ont été utilisés à travers la fonction "Voir mon profil en tant que" - par précaution. Cela explique pourquoi vous avez peut-être dû renseigner à nouveau vos identifiants Facebook sur plusieurs appareils vendredi.

Qu'ont pu faire les pirates ?

Ouverte en juillet 2017, découverte mardi, la faille n'a été comblée que vendredi. Pendant quatorze mois, les pirates ont pu prendre le contrôle des dizaines de millions de comptes compromis en se connectant comme un utilisateur légitime. Facebook ignore si ces compte ont été utilisés de façon malveillante et si des informations personnelles en ont été extraites. C'est peut-être le cas, mais ce n'est pas encore établi. Une enquête a été ouverte par les autorités américaines pour clarifier ces points. Facebook devra s'expliquer.

Les dirigeants de Facebook ont admis vendredi soir que les sites utilisant le bouton Facebook Login étaient aussi concernés. Cela signifie qu'ils ont pu accéder à des sites Internet et des applications utilisant Facebook comme moyen d'identification, comme Leetchi, Instagram, Airbnb et des millions d'autres services. Ni Facebook, ni les sites concernés n'ont encore indiqué si des données ont pu être exploitées et récupérées par ce biais.

Comment savoir si mon compte a été piraté ?

Il n'est pas encore clairement établi que les comptes qui ont été déconnectés de Facebook entre jeudi soir et vendredi sont forcément compromis. On sait que des utilisateurs européens sont concernés car Facebook a prévenu la Cnil irlandaise, où est situé son siège européen, conformément au nouveau règlement européen RGPD. Le secrétaire d'État chargé du Numérique, Mounir Mahjoubi, a affirmé dimanche que des comptes français sont touchés par le piratage.

Selon Facebook, les internautes concernés ont commencé à voir apparaître un message d'information sur la page d'accueil de Facebook expliquant que leur compte a peut-être été déconnecté par souci de sécurité et qu'ils doivent se reconnecter pour continuer à utiliser Facebook.

Comment sécuriser mon compte ?

Cette nouvelle brèche dans la protection des données personnelles de Facebook est l'occasion de vérifier les accès à votre compte. Avec le temps, les appareils connectés à votre identifiant se sont probablement multipliés. Par mesure de précaution, il est préférable de vous déconnecter manuellement de toutes vos machines depuis les paramètres puis de vous reconnecter sur celles que vous utilisez vraiment.

Il est important de vérifier aussi la liste des sites et des applications sur lesquels vous êtes connectés par l'intermédiaire de votre identifiant Facebook, via le bouton Facebook Login, et de faire le ménage le cas échéant. Facebook assure qu'il n'est pas nécessaire de modifier votre mot de passe. Par mesure de précaution, encore, il est néanmoins possible de le faire, en respectant un certain nombre de consignes pour qu'il soit le plus robuste possible. 

Il est généralement conseillé d'opter pour l'authentification à double facteur (qui consiste à recevoir un code d'activation par SMS lors de chaque tentative de connexion à votre compte) mais cela implique de voir votre numéro de téléphone utilisé par Facebook à des fins publicitaires. Des applications tierces peuvent remplir cette tâche (Duo, Google Authentificator, LastPass Authentificator, etc).

D'une manière générale, les affaires successives de compromission de comptes et de fuites de données personnelles doivent vous inciter à limiter tant bien que mal la quantité d'informations que vous offrez à Facebook, aux applications et aux sites Web. Si vous souhaitez couper le cordon pour de bon avec le réseau social, nous vous expliquions la marche à suivre dans cet article publié au plus fort de l'affaire Cambridge Analytica.

Que risque Facebook ?

Six mois après l'affaire Cambridge Analytica, cette attaque est un nouveau gros caillou dans la chaussure de Facebook. Mark Zuckerberg s'était fait une priorité de protéger les informations de ses utilisateurs. "Nous avons la responsabilité de protéger les données personnelles. Si on ne le fait pas, on ne mérite pas de servir les gens", martelait-il alors à la télévision américaine. Cette affaire ne va pas améliorer l'image du réseau social qui risque de voir la confiance des utilisateurs s'éroder un peu plus.

Facebook va aussi devoir rendre des comptes aux autorités américaines et européennes. L'autorité irlandaise de protection des données personnelles a demandé des compléments d'information à l'entreprise pour vérifier si elle n'a pas contrevenu au RGPD. En cas d'infraction, elle s'expose à une amende record pouvant aller jusqu'à 4% du chiffre d'affaires de l'année précédente. Selon le Wall Street Journal, le montant pourrait être de l'ordre de 1,63 milliard de dollars (soit environ 860 millions d'euros).

L’actualité par la rédaction de RTL dans votre boîte mail.

Grâce à votre compte RTL abonnez-vous à la newsletter RTL info pour suivre toute l'actualité au quotidien

Je créé mon compte Se connecter

S’abonner à la Newsletter RTL Info