Facebook aurait été averti à plusieurs reprises sur la faille de sécurité qui a conduit à la plus grande violation de données de son histoire


Des employés ont des remords et se sentent coupables.

Facebook

En 2018, Facebook a enregistré la plus grosse fuite de données de son histoire. Environ 90 millions de comptes ont été piratés en exploitant trois bogues liés à la fonctionnalité « Aperçu en tant que ».

Premièrement : la fonctionnalité « Aperçu du profil en tant que » est censée permettre aux utilisateurs de visualiser leur profil en tant que quelqu’un d’autre. Cependant, pour un type de compositeur (la zone qui permet de poster du contenu sur Facebook), plus spécifiquement la version qui permet aux gens de souhaiter un bon anniversaire à leurs amis, cette fonctionnalité a incorrectement permis de poster une vidéo.

Deuxièmement : une nouvelle version de l’uploader de vidéo (l’interface présentée en raison du premier bogue), introduite en juillet 2017, a généré de manière erronée un jeton d’accès qui a les permissions de l’application mobile de Facebook.

Troisièmement : quand l’uploader vidéo apparaît à partir de « Aperçu du profil en tant que », il a généré un jeton d’accès non pas pour vous, mais pour l’utilisateur que vous avez cherché.

Après que l’incident soit parvenu au grand public, cela a déclenché une vague de réactions dans le monde comme des poursuites judiciaires, une enquête du FBI et une conférence de presse donnée par directeur général de Facebook, Mark Zuckerberg, qui a déclaré : « C’est un problème de sécurité très grave, et nous le prenons très au sérieux ». Un groupe d’utilisateurs américains a par ailleurs formé un recours collectif contre Facebook et l’a accusé de négligence et de rupture de contrat en ne protégeant pas les informations privées qu’il a incité ses utilisateurs à lui fournir au cours de la dernière décennie. Les plaignants ont soutenu que Facebook n’avait rien fait pour empêcher la vulnérabilité, car il craignait que cela crée des problèmes techniques et nuise aux revenus. « Facebook a préféré l’argent à la sécurité », ont-ils allégué.

Les avocats de Facebook ont réfuté ces accusations en avançant que le piratage résultait d’une combinaison « imprévue » et « très obscure » de trois problèmes distincts qui étaient « complètement inconnus » du réseau social et ont décrit toute suggestion selon laquelle Facebook avait ignoré les causes de l’attaque comme étant « sans fondement ».

Toutefois, les documents juridiques fournis lors du procès montrent que l’entreprise avait été avertie à maintes reprises par ses propres employés ainsi que par des personnes extérieures d’une faille qui pouvait être massivement exploitée par des pirates. Neuf mois avant la survenue du piratage en septembre 2018, des employés de Facebook ont interpellé leurs responsables, mais leurs alertes sont restées lettre morte. Facebook avait à plusieurs reprises omis de répondre de manière adéquate aux préoccupations soulevées dès décembre 2017 par ses propres ingénieurs qui craignaient que les jetons d’accès soient « faciles » à exploiter par les criminels. C’est pourquoi lorsque l’incident est survenu, certains employés ont commencé à parler de leur sentiment de « culpabilité » et de leur « souffrance », car ils savaient que l’attaque « aurait pu être évitée ».

Selon les documents publiés lors du procès, des employés ont déploré que les modifications techniques qui auraient pu empêcher le piratage de se produire n’aient jamais été achevées. Un autre employé aurait déclaré que les avertissements étaient « presque tous ignorés ». Dans les messages internes entre employés, l’on peut également lire une personne qui écrit : « Ça fait mal de savoir que si nos trucs avaient été faits plus rapidement [ou] dans un meilleur état, cela aurait pu être évité… c’est quelque chose sur quoi j’ai travaillé, mais je n’ai pas fini. La culpabilité a vraiment décidé de me ronger sur ce coup ». Son collègue a répondu avec une émoticône au visage triste.

Bien que ces éléments viennent montrer avec plus d’évidence la part de responsabilité de Facebook dans l’occurrence de l’attaque qui a exposé environ 90 millions de comptes d’utilisateurs, le réseau social a discrètement accepté le mois dernier, et plus précisément le 17 janvier, de régler l’affaire sans admettre aucune responsabilité ni de payer de dommages et intérêts, bien qu’il consente à payer les frais juridiques des plaignants, tels que déterminés par le tribunal. Selon les termes du règlement, Facebook est tenu de certifier que les failles qui ont conduit à l’attaque ont été corrigées et de présenter un plan de sécurité destiné à prévenir de futures attaques. Ce plan sera vérifié par un évaluateur indépendant chaque année pendant cinq ans. Le règlement de Facebook doit encore être approuvé par le juge américain William Alsup. Cependant, d’autres plaignants peuvent toujours s’opposer à ce règlement. En attendant, le réseau social continue de contester « vigoureusement » d’autres poursuites en dehors des États-Unis, qu’il décrit comme « sans fondement ».

Lire aussi : Facebook suit ses modérateurs jusqu’aux toilettes

Sources : Developpez par Olivier FamienUSA Today, The Telegraph

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *