Les critiques ne se sont pas fait attendre : le sénateur démocrate de Virginie (est), Mark Warner, a qualifié ce piratage de « profondément inquiétant », appelant le Congrès « à prendre des mesures pour protéger la vie privée et la sécurité des usagers ». Plus sobrement, Rohit Chopra, membre de l’agence du régulateur américain du commerce (FTC), a demandé « des réponses » via son compte Twitter.
> Un piratage « profondément inquiétant »
I want answers. https://t.co/kZSttt4fmF
— Rohit Chopra (@chopraftc) 28 septembre 2018
Une incertitude demeure sur 40 autres millions de comptes, pour lesquels la fonctionnalité a été utilisée récemment, ont aussi dit les responsables de Facebook. Dans le doute, le groupe a déconnecté dans la nuit de jeudi à vendredi les 90 millions de comptes concernés, obligeant leurs titulaires à se reconnecter manuellement.
Selon Mark Zuckerberg, la faille et l’attaque ont été découvertes mardi, suite à une enquête interne lancée le 16 septembre après la découverte d’un pic de connexions. Quant à la vulnérabilité qui a servi de porte d’entrée aux pirates, elle remonte à juillet 2017 à l’occasion de la mise à jour d’un fonction vidéo sur la plateforme.
C’est grâce à la « combinaison de trois bugs » que les pirates ont pu accéder à des clés numériques de connexion (« tokens » en anglais), qui permettent aux utilisateurs de rester connectés sans avoir à rentrer leurs mots de passe à chaque fois, a explique Facebook.
>>> Lire aussi : Facebook : un nouveau bug a rendu publics les posts de 14 millions d’utilisateurs
Surtout, les « hackers » ont « pu utiliser le compte comme s’ils en étaient les titulaires », a relevé Guy Rosen, en charge du « Management produit » et donc par exemple se connecter à d’autres applications ou sites internet via les comptes piratés.
« Nous sommes désolés », a-t-il ajouté, précisant ne pas savoir qui était derrière l’attaque. Pour autant, selon les premières constatations, les pirates n’ont pas semblé accéder aux messages privés ni posté des publications tandis que les mots de passe n’ont pas été compromis, pas plus que des informations bancaires, a assuré l’entreprise.
Les utilisateurs de la messagerie WhatsApp, qui appartient à Facebook, n’ont pas été affectés, a-t-elle ajouté dans un tweet.
> Confiance hackée
>>> Lire aussi : Zuckerberg au Congrès : des excuses, des promesses mais pas de révolution
Malgré les excuses répétées de son dirigeant, y compris devant le Congrès américain, l’image de Facebook, né en 2004, en est ressortie largement ternie. Et alors que les scandales avaient longtemps épargné ses finances, le géant a connu un coup de tabac boursier en juillet après avoir annoncé un chiffre d’affaires trimestriel et un nombre d’usagers jugés décevants. Outre ces scandales, Facebook, dont le titre à fini en repli de 2,6% vendredi à Wall Street, avait prévenu il y a déjà deux ans que sa croissance exponentielle finirait par ralentir.
Au-delà de Facebook, ce sont toutes les plateformes technologiques (Twitter, Google…) qui sont critiquées pour leur gestion des données personnelles, fondement de leur modèle économique.
« Trop c’est trop », a réagi vendredi l’association de défense des droits numériques Fight for the Future, appelant les élus à légiférer.
Le piratage de Facebook est le dernier d’une série d’attaques massives ces dernières années, parmi lesquelles Yahoo, Uber, ou l’agence américaine de crédit Equifax.
Rédaction web avec AFP