Quelque 50 millions de comptes Facebook ont été piratés à cause d'une faille de sécurité, une attaque de grande ampleur qui ravive les critiques contre le réseau social déjà sérieusement ébranlé par plusieurs controverses, en particulier autour la protection des données personnelles.
Cette énième bévue, dont le réseau social cherche encore à déterminer la portée exacte, est due à une «faille» qui a été «réparée hier (jeudi) soir», selon le patron de Facebook Mark Zuckerberg, lors d'une conférence téléphonique vendredi. «Nous ne savons pas si ces comptes ont été utilisés de façon malveillante», a-t-il expliqué, ajoutant que les investigations étaient en cours pour savoir exactement à quelles données les pirates avaient eu accès et ce qu'ils en avaient fait.
«Profodément inquiétant»
Malgré de nombreuses questions des journalistes, les responsables de Facebook n'ont pas indiqué combien de temps avait duré l'attaque informatique. Cette révélation apparaît comme un nouveau boulet au pied du groupe et de son tout puissant PDG, qui a déjà dû affronter cette semaine le départ surprise des deux dirigeants de sa filiale Instagram.
Et les critiques ne se sont pas fait attendre : le sénateur démocrate de Virginie (est), Mark Warner, a qualifié ce piratage de «profondément inquiétant», appelant le Congrès «à prendre des mesures pour protéger la vie privée et la sécurité des usagers». Plus sobrement, Rohit Chopra, membre de l'agence du régulateur américain du commerce (FTC), a demandé «des réponses» via son compte Twitter.
Selon Facebook, «presque 50 millions de comptes ont été affectés directement», les pirates ayant pu accéder aux informations de profils (noms, genre, ville...) par la fonctionnalité «Voir en tant que», qui permet de regarder son propre profil comme si on était un autre utilisateur. Une incertitude demeure sur 40 autres millions de comptes, pour lesquels la fonctionnalité a été utilisée récemment, ont aussi dit les responsables de Facebook. Dans le doute, le groupe a déconnecté dans la nuit de jeudi à vendredi les 90 millions de comptes concernés, obligeant leurs titulaires à se reconnecter manuellement.
Trois bugs
Selon Mark Zuckerberg, la faille et l'attaque ont été découvertes mardi, suite à une enquête interne lancée le 16 septembre après la découverte d'un pic de connexions. Quant à la vulnérabilité qui a servi de porte d'entrée aux pirates, elle remonte à juillet 2017 à l'occasion de la mise à jour d'un fonction vidéo sur la plateforme.
C'est grâce à la «combinaison de trois bugs» que les pirates ont pu accéder à des clés numériques de connexion («tokens» en anglais), qui permettent aux utilisateurs de rester connectés sans avoir à rentrer leurs mots de passe à chaque fois, a explique Facebook. Surtout, les «hackers» ont «pu utiliser le compte comme s'ils en étaient les titulaires», a relevé Guy Rosen, en charge du «Management produit» et donc par exemple se connecter à d'autres applications ou sites internet via les comptes piratés. «Nous sommes désolés», a-t-il ajouté, précisant ne pas savoir qui était derrière l'attaque.
Pour autant, selon les premières constatations, les pirates n'ont pas semblé accéder aux messages privés ni posté des publications tandis que les mots de passe n'ont pas été compromis, pas plus que des informations bancaires, a assuré l'entreprise. Les utilisateurs de la messagerie WhatsApp, qui appartient à Facebook, n'ont pas été affectés, a-t-elle ajouté dans un tweet.
Confiance hackée
Cette bévue de plus est susceptible d'ébranler encore davantage la confiance des utilisateurs, déjà mise à mal par plusieurs scandales autour de Facebook, qui traverse la plus grave crise de sa jeune histoire. Le groupe est critiqué pour avoir servi de plateforme de manipulation politique, en particulier pendant la campagne présidentielle américaine de 2016, ou d'avoir laissé filer les données de dizaines de millions d'utilisateurs à leur insu vers la firme britannique Cambridge Analytica.
Malgré les excuses répétées de son dirigeant, y compris devant le Congrès américain, l'image de Facebook, né en 2004, en est ressortie largement ternie. Et alors que les scandales avaient longtemps épargné ses finances, le géant a connu un coup de tabac boursier en juillet après avoir annoncé un chiffre d'affaires trimestriel et un nombre d'usagers jugés décevants.
Outre ces scandales, Facebook, dont le titre à fini en repli de 2,6% vendredi à Wall Street, avait prévenu il y a déjà deux ans que sa croissance exponentielle finirait par ralentir. Au-delà de Facebook, ce sont toutes les plateformes technologiques (Twitter, Google...) qui sont critiquées pour leur gestion des données personnelles, fondement de leur modèle économique. «Trop c'est trop», a réagi vendredi l'association de défense des droits numériques Fight for the Future, appelant les élus à légiférer.
Le piratage de Facebook est le dernier d'une série d'attaques massives ces dernières années, parmi lesquelles Yahoo, Uber, ou l'agence américaine de crédit Equifax.