Facebook a révélé le vendredi 28 septembre une faille de sécurité que ses équipes avaient découverte le mardi 25, affectant « presque 50 millions de comptes », et ayant permis à des pirates de prendre le contrôle de comptes d’utilisateurs. Il s’agit de l’attaque la plus importante de l’histoire du réseau social, né il y a 14 ans.
facebook a joué la transparence. Une conférence de presse technique a l’après-midi même expliqué la faille et les mesures prise : compte-rendu (en anglais), animée par Guy Rosen, VP Product Management, responsable également des sujets de Sécurité et Nathaniel Gleicher, responsable de la politique de cybersécurité, ont expliqué que 3 bugs combinés étaient à l’origine du piratge (Voir Description de la faille , ci-dessous).
La cause: la fonctionnalité « Vue de mon profil »
La vulnérabilité a été localisée dans la fonctionnalité « Aperçu de mon profil « , qui permet une vue de son profil comme un utilisateur extérieur peut la voir. Cette fonctionnalité « View as », vous permet de vérifier ce qui est visible de votre profil en prenant la posture d’un visiteur quelconque. Un bug a permis aux pirates en actionnant cette fonctionnalité, de s’emparer de jeton d’accès, leur permettant d’accéder aux comptes vus.
En plus des 50 millions de comptes compromis, un doute demeurait sur l’intégrité de 40 autres millions de comptes, ceux ayant utilisé la fonctionnalité récemment. Le réseau social a décidé de déconnecter par précaution l’ensemble des comptes concernés, soit 90 millions de comptes, dans la nuit de jeudi à vendredi. Les propriétaires de ces comptes doivent se reconnecter manuellement. Des utilisateurs français étaient bien entendu concernés. Mounir Mahjoubi, le secrétaire d’Etat chargé du numérique, a déclaré que son propre compte Facebook fermé, en raison de cette mesure.
Les 3 bugs expliquant la faille
(Conférence de presse)
-
Le contexte : les Jetons d’accès (Access Token)
« Notre site, comme beaucoup d’autres, utilise un mécanisme appelé jetons d’accès. Ce n’est pas votre mot de passe; c’est une sorte de clé numérique qui vous permet de rester connecté à Facebook de sorte que vous n’avez pas besoin de ressaisir votre mot de passe chaque fois que vous utilisez l’application.
A coté existe le mécanisme d’authentification unique – ou SSO – pour
créer de nouveaux jetons d’accès. Si l’on veut ouvrir une autre partie de Facebook dans un autre navigateur on peut utiliser SSO pour générer un jeton d’accès pour ce navigateur, qui évite d’entrer son mot de passe.
La vulnérabilité que nous avons corrigée était le résultat de trois bugs distincts,
introduits en juillet 2017 lorsque nous avons mis en place la fonctionnalité permettant le téléchargement de vidéos.
-
1er bug : lorsqu’on actionne « Aperçu de mon profil » (View As), le uploader de la vidéo en fait ne devrait pas tout afficher, mais dans un cas très spécifique autour de messages incitant les gens à souhaiter de joyeux anniversaires, cela s’est manifesté.
-
2e bug : le téléchargement de vidéo utilisait incorrectement le mécanisme SSO (authentification unique) – pour générer un jeton d’accès doté des autorisations de l’application mobile Facebook, en détournant le but pour lequel ce mécanisme avait été créé.
-
3e bug : au moment du lancement de la vidéo, un jeton d’accès est généré au bénéfice de l’utilisateur tiers.
-
C’est la combinaison de ces trois bugs qui a créé une vulnérabilité. Celle-ci a été découverte par les pirates, et ils l’ont exploitée en passant d’un compte à l’autre, d’un utilsateur à l’ensemble de ses amis, obtenant à chaque fois un autre jeton d’accès. «
Joel Pascal
