Fin septembre 2018, Facebook a été victime d’une cyberattaque d’importance, qui a compromis les données de 50 millions de comptes. Les conseils, donnés le lendemain par le gouvernement américain pour mieux sécuriser sa navigation Facebook, s’avèrent parfaitement inutiles : pousser les gens à faire quelque chose après une telle attaque se comprend, mais un rappel des bonnes pratiques n’aurait-il pas été plus efficace ?
La longue litanie des compromissions de données personnelles semble destinée à se poursuivre sans fin. Le 28 septembre 2018, une faille de sécurité dans la fonction View As de Facebook a permis la violation des données de 50 millions de comptes.
Cible principale : jetons de cession ; réinitialisation de mot de passe : inutile
Dans le détail, les assaillants ont pris pour cible les jetons de cession, c’est à dire les clés numériques uniques attribuées aux utilisateurs après leur connexion par mot de passe. Les pirates ont ainsi pu accéder à l’ensemble des données des comptes, sans pour autant en détenir les mots de passe.
Ayant constaté l’intrusion, Facebook a corrigé la faille de sécurité. Puis les ingénieurs du réseau social ont réinitialisé automatiquement les jetons d’accès pour les personnes touchées, ainsi que pour 40 millions de comptes supplémentaires. Facebook a donc informé ses utilisateurs qu’il n’était pas nécessaire de modifier leurs mots de passe, puisque ces derniers n’avaient pas été compromis.
Les agences publiques ont peur du vide
Dans la foulée, la Federal Trade Commission (FTC), l’agence fédérale américaine du commerce, a fait une déclaration à ce sujet. Le gouvernement vous parle, il veut vous rassurer, vous donner des conseils, vous dire quoi faire.
En réalité, les utilisateurs n’avaient rien à faire, la compromission ne venait pas d’une négligence de leur part, et aucune action ne pouvait sécuriser davantage leurs comptes. « Habituellement, il y a peu d’actions qu’un consommateur peut entreprendre après une faille » note Dave Kennedy, directeur général de la société de sécurité TrustedSec. Mais la FTC, comme beaucoup d’agences publiques, a horreur du vide. Elle a donc recommandé, par sécurité, aux internautes de se connecter à leur compte Facebook et d’en modifier le mot de passe.
Voulant vraiment se sentir utile, la FTC a ajouté qu’elle conseillait aux utilisateurs d’être vigilants pour éviter toute escroquerie menée grâce aux données volées des comptes Facebook. « C’est tellement générique que ce n’est même pas spécifique à la faille Facebook et que cela ne s’applique pas à ce qui se passe avec Facebook. Je ne pense pas que le conseil ait été de la moindre utilité pour cette violation » s’amuse presque Dave Kennedy.
Une occasion ratée pour rappeler les méthodes de sécurisation
Car comment dire à celui qui vient d’être volé qu’il n’y a rien à faire ? Cette stratégie de communication semble pour le moins contre-productive. L’occasion était belle, pourtant, de faire un peu de pédagogie. Et d’expliquer que, certes, dans ce cas précis, les internautes n’avaient rien à faire. Mais que, pour éviter de futures violations, des conseils simples pouvaient grandement aider – en cybersécurité comme ailleurs, la prévention est toujours la méthode la plus efficace.
Utiliser un gestionnaire de mot de passe ; éviter d’utiliser Facebook pour se connecter à des applications tierces ; utiliser une authentification à deux facteurs… Tout en précisant que, dans ce cas précis, de telles précautions n’auraient servi à rien, l’occasion était belle de rappeler que ces quelques conseils simples peuvent fortement sécuriser votre compte. Et vous défendre contre d’autres attaque.
Cela est vrai pour Facebook, mais aussi de tous les services nécessitant un mot de passe. Vos données sont précieuses. Défendez-les. Défendez-vous. Mais faites-le avant les compromissions !