Facebook : le piratage des comptes européens pourrait lui coûter plus d'un milliard de dollars

High-tech
AMENDE – On ne rigole pas (plus) avec les données des utilisateurs en Europe. Avec l’introduction du Règlement général sur la protection des données (RGPD), les entreprises du net ont des droits et surtout des devoirs. Et parmi ces derniers, celui de protéger leurs utilisateurs. Facebook pourrait en faire les frais après la dernière attaque dont le réseau social a été victime la semaine dernière.

Vendredi, Facebook a reconnu une faille de sécurité qui a affecté quelque 50 millions de comptes utilisateurs la semaine dernière. Si l’entreprise a expliqué avoir réparé la brèche, nul ne sait les conséquences de ce piratage. Par sécurité, le réseau social a volontairement déconnecté au total 90 millions de comptes, sur les 2,2 milliards d’utilisateurs actifs recensés. Mark Zuckerberg et Sheryl Sandberg, sa numéro deux, auraient également été touchés par l’attaque, avance le New York Times.


Des analyses sont toujours en cours pour trouver l’origine de l'assaut. La vulnérabilité qui a servi aux hackers aurait notamment été créée lors d’une mise à jour de la fonction vidéo en juillet 2017. Quoi qu'il en soit, trois bugs concomitants ont en tout cas permis d’accéder aux jetons numériques de connexion qui laissent l’utilisateur connecté en permanence.

Des comptes français visés

Mounir Mahjoubi, le secrétaire d’Etat au numérique, a confirmé que des utilisateurs français de Facebook avaient été victimes de l’attaque. Résultat : Facebook tombe donc sous le coup du Règlement général sur la protection des données (RGPD) qui impose de protéger les données personnelles et la vie privée de ses utilisateurs. Selon le Wall Street Journal, la firme de Palo Alto pourrait ainsi écoper d’une amende record pour avoir enfreint le RGPD, en place depuis mai en Europe. La commission irlandaise de protection des données, principal régulateur de Facebook en Europe, a d'ailleurs demandé samedi un complément d’informations à l’entreprise afin de savoir à quelle échelle les résidents européens pouvaient être concernés. Facebook est "incapable de clarifier la nature de la faille et le risque pour les utilisateurs", note le régulateur.


En vertu du RGPD, les entreprises ne remplissant pas leurs obligations de protection s’exposent à une amende de l’ordre de 4% de leur chiffre d’affaires de l’année précédente. Pour Facebook, elle pourrait au total atteindre 1,63 milliard de dollars (environ 860 millions d’euros), avance le Wall Street Journal. Car le RGPD exige aussi que "les compagnies signalent au régulateur les failles découvertes dans les 72 heures, sous peine d’une amende équivalente à 2% de ses revenus mondiaux." 

En vidéo

Facebook : 50M de comptes piratés, le décryptage de Cédric Ingrand

Attention si vous utilisez vos identifiants avec d’autres applications

"Bien que la nouvelle semble inquiétante, il n’est pas nécessaire de changer ses mots de passe immédiatement. Ce n’est en effet pas le genre d’attaque qui le nécessite, puisqu’il ne s‘agit pas d’une violation du réseau de Facebook, mais d’une faille de logiciel dont les hackers ont profité," explique Luis Corrons, "Security Evangelist"  (conseiller en cyber-sécurité) chez Avast. Selon lui, les données de connexion n’ont pas été volées car les pirates se sont contentés de les contourner pour accéder aux comptes.


Mais Facebook ne sait également pas si les pirates ont pu se servir de leur manipulation pour accéder à d’autres sites auxquels les utilisateurs se connectent par l’intermédiaire de leurs identifiants Facebook (comme Spotify, Instagram, TripAdvisor, des sites d'actualité, des jeux, etc.). Ceux-ci sont alors liés à leur compte et offrent un accès possible aux différentes informations. 


Quelques actions simples pour protéger son compte utilisé avec des applications extérieures :

- Révoquez les accès accordés à votre compte pour des jeux ou d’autres applications tierces depuis les paramètres de votre compte Facebook. Allez ensuite dans la partie Apps et sites web. Vous avez alors la liste des applications et sites web qui ont vos identifiants. Vous pouvez alors modifier les accès, les supprimer ou modifier.


- Vous pouvez aller voir si des appareils se sont récemment connectés à vos comptes depuis Paramètre/Sécurité et connexion. Vous avez alors la liste de ceux qui ont servi de points d'entrée à votre compte et leur localisation. Il suffit alors de  déconnecter ceux qui vous paraissent suspects.


- Vérifiez aussi que ces logiciels ou applications installés sur vos tablettes, smartphones, ordinateurs sont bien à jour.

Tout savoir sur

Tout savoir sur

Le RGPD, le plan de l’Europe pour protéger vos données personnelles

Sur le même sujet

Plus d'articles

Lire et commenter