Ce que les utilisateurs Instagram doivent savoir sur le piratage de Facebook

Noel NGUESSANNoel NGUESSAN 1.10.18
Même si vous n'utilisez plus Facebook ces jours-ci, les autres applications et services tiers que vous utilisez pourraient être affectés par le piratage récent de Facebook.

Ce que les utilisateurs Instagram doivent savoir sur le piratage de Facebook

Facebook a récemment révélé avoir été victime d’un piratage d’au moins 50 millions de comptes.

Et il a aussi révélé que les utilisateurs d’Instagram n'étaient pas épargnés ni aucun autre service tiers qui utilisent Facebook Login comme moyen de connexion sur leurs plates-formes.

Facebook Login est l'outil qui permet aux utilisateurs de se connecter avec un compte Facebook au lieu des informations d'identification de connexion traditionnelle et de nombreux utilisateurs le choisissent comme un moyen commode de se connecter à une variété d'applications et de services.

Guy Rosen, VP Product Management chez Facebook, a publié un post dans lequel il déclare :

Dans l'après-midi du mardi 25 Septembre 2018, notre équipe d'ingénieurs a découvert un problème de sécurité affectant près de 50 millions comptes.

Nous prenons cela incroyablement au sérieux et nous avons voulu faire savoir à tout le monde ce qui s'est passé et l'action immédiate que nous avons prise pour protéger la sécurité des gens.

Notre enquête en est encore à ses débuts. Mais il est clair que les attaquants ont exploité une vulnérabilité dans le code de Facebook qui a affecté “Aperçu du profil en tant que”, une fonctionnalité qui permet aux utilisateurs de savoir ce que les autres personnes voient de leur profil.

Cela a permis aux pirates de voler des jetons d'accès (tokens) de Facebook qu'ils pourraient alors avoir utilisés pour prendre en charge les comptes des gens.

Les jetons d'accès sont l'équivalent de touches numériques qui maintiennent les personnes connectées à Facebook afin qu'ils n'aient pas besoin de ré-entrer leur mot de passe à chaque fois qu'ils utilisent l'application.

Selon Facebook, la vulnérabilité est le résultat de l'interaction de 3 bugs distincts:

  1. “Aperçu du profil en tant que” est une fonction de confidentialité qui permet aux gens de voir ce à quoi ressemble leur propre profil aux yeux de quelqu'un d'autre.

    “Aperçu du profil en tant que” doit être une interface de vue uniquement. Cependant, pour un type de compositeur (la boîte qui vous permet de poster du contenu sur Facebook), en particulier la version qui permet aux gens de souhaiter à leurs amis joyeux anniversaire, cette fonction fournit de façon incorrecte la possibilité de publier une vidéo.

  2. Une nouvelle version de l’Uploader vidéo (l'interface qui serait présentée à la suite du premier bug), introduite en juillet 2017, a incorrectement généré un jeton d'accès qui avait les autorisations de l'application mobile Facebook.

  3. Lorsque l’Uploader vidéo apparaissait dans le cadre de “Aperçu du profil en tant que”, il a généré le jeton d'accès, pas pour vous en tant que spectateur, mais pour l'utilisateur que vous cherchiez.


Voici les actions prises par Facebook :

  1. Tout d'abord, Facebook a réparé la vulnérabilité et informé les autorités judiciaires.

  2. Deuxièmement, Facebook a réinitialiser les jetons d'accès des presque 50 millions de comptes qu’il connaît comme ayant été affectés pour protéger leur sécurité.

    Il a aussi, à titre préventif, réinitialisé les jetons d'accès pour un autre groupe de 40 millions de comptes qui a été soumis à un “Aperçu du profil en tant que”dans la dernière année.

    En conséquence, environ 90 millions de personnes devront maintenant se connecter à Facebook, ou l'une de leurs applications qui utilisent Facebook Login. Après s’être reconnectés, les gens recevront une notification en haut de leur fil d’actualité expliquant ce qui s'est passé.

    (Cliquez sur les images pour les agrandir)

    Source : Facebook


  3. Troisièmement, Facebook a désactivé temporairement la fonction “Aperçu du profil en tant que” pendant qu’il poursuit une vérification approfondie de la sécurité.


Comment relier votre compte Facebook et faire une vérification de sécurité ?


En raison de la nature de la faille de sécurité, Facebook ne peut pas exclure le fait que les pirates peuvent avoir également accédé à n'importe quel compte Instagram (ou tout autre compte tiers) lié à un compte Facebook affecté par l'ouverture de session de Facebook.

Pourtant, il vaut la peine de se rappeler qu’alors que Facebook ne peut pas l'exclure, l'entreprise n'a aucune preuve (encore) de ce genre d'activité.

Toujours est-il que n'importe qui avec un compte Facebook affecté par le piratage, vous devriez avoir été automatiquement déconnectés et avoir reçu une notification, devra dissocier et lier à nouveau son compte Instagram (ou tout autre compte tiers) à Facebook afin de continuer le cross-posting de contenu sur Facebook.


Pour dissocier votre compte Instagram de Facebook :

  1. Accédez à votre profil et appuyez sur “Menu”.

  2. Appuyez sur “Paramètres” -> “Comptes liés”.

  3. Appuyez sur “Facebook” -> “Dissocier le compte”.

Pour lier à nouveau vos comptes Instagram et Facebook afin de partager des publications sur Facebook, directement à partir d’Instagram :

  1. Accédez à votre profil Instagram et appuyez sur “Menu”.

  2. Appuyez sur “Paramètres” -> “Comptes liés”.

  3. Appuyez sur “Facebook” et saisissez vos informations de connexion Facebook.

Une fois vos comptes liés, vous pouvez partager une publication sur Facebook à partir du même écran vous permettant d’ajouter une légende. Vous pouvez également partager du contenu d’Instagram sur une Page Facebook que vous gérez.

Si vous avez été informés que votre compte Facebook a été affecté par le piratage, il est sage de vérifier l'activité suspecte sur votre compte.

Vous pouvez le faire sur Facebook via le menu "Sécurité et de connexion".

Là, vous voudrez parcourir l'activité répertoriée pour vous assurer que vous ne voyez pas quelque chose qui ne vous ressemble pas telle que des connexions à votre compte provenant d’autres pays, par exemple.

Si vous êtes concernés ou vous voulez juste jouer la sécurité, vous pouvez toujours trouver le lien pour “Se déconnecter de toutes les sessions” en faisant défiler l’écran vers le bas de la section “Vos connexions”.

Source : Techcrunch.com

Bien que nous en savons un peu plus maintenant sur la plus brèche faille de sécurité de Facebook à ce jour, il y a encore beaucoup que nous ne savons pas encore.

Attendez-vous à beaucoup d'informations supplémentaires dans les prochains jours et semaines, au fur et à mesure que Facebook enquête sur les dommages et transmet cette information à ses utilisateurs.