Truk'Astus :
Sécurité des données / volet 2
Arrêt de Google + suite à une importante
faille de sécurité, aussi !
Failles de sécurité à répétition...
et vos données perso
sont utilisables dans le monde entier !
On n’a pas
toujours l’info des fuites de données ou des failles de sécurité des
applications et services que tout le monde peut être amener à utiliser … alors il faut absolument faire attention aux
informations que l’on donne librement !
Ø
Facebook a enchaîné les problèmes :
Après le
scandale Cambridge Analytica, les départs des fondateurs de WhatsApp et
d’Instagram, ou encore les nombreux moyens imaginés pour vendre de la
pub, le réseau social a fait face à une sérieuse faille de sécurité.
Entre 30 et 50 millions de comptes
ont été victimes d’une faille de sécurité découverte le 25 septembre. Facebook a expliqué que des pirates ont exploité une
vulnérabilité dans le code de la fonction d’aperçu de profil, qui permet de
savoir ce que d’autres utilisateurs voient d’un profil.
Lorsque vous vous connectez à Facebook (par exemple sur
une application pour smartphone), vous n’avez pas à saisir à nouveau votre mot de passe à chaque fois que vous rouvrez
l’application. C’est parce que, lors de la première connexion, Facebook a
généré une clé (un « token ») : à chaque fois que vous
ouvrez l’application, Facebook vérifie la présence et la validité de ce token.
Cela lui permet de vérifier que vous avez bien le bon mot de passe sans avoir à vous le demander à chaque fois.
Un peu moins de 50 millions de tokens ont été
dérobés en utilisant un défaut dans le code du réseau social. Avec ces éléments,
il a été possible de prendre le contrôle total des comptes, y compris de s’identifier sur
des sites, des jeux, … qui utilisent Facebook comme moyen de s’y connecter.
Les voleurs ont pu récupérer les
jetons d’identification, ces clés numériques qui permettent aux utilisateurs de
rester connectés aux différents services de Facebook sans avoir à se connecter
à tout bout de champ. Avec ces « tokens » en poche, les
pirates ont pu accéder aux comptes de millions de personnes et voler de
nombreuses informations : messages privés échangés, photos postées (même
celles dont la diffusion a été restreinte par des paramètres de
confidentialité), pages aimées, liste d’amis… Bref, tout le compte Facebook.
Et ce sans compter les données
stockées par les services auxquels les utilisateurs peuvent se connecter via
leur compte Facebook . Facebook ignore quelles sont les données qui ont
été piratées. Le réseau social a corrigé la faille, contacté les autorités
compétentes pour enquêter, et réinitialisé les tokens d’identification. C’est
pour cela que 90 millions de personnes ont dû se reconnecter à leur compte
Facebook ou Messenger : les 50 millions de comptes qui ont été affectés par
cette attaque, plus 40 millions qui ont été sujets à la fonction d’aperçu de
profil dans la dernière année.
Pour résumer, si vous
avez été déconnecté , vous faites soit partie du groupe de 50 millions de
comptes dont les tokens ont été volés, ou bien du groupe de 40 millions dont le
profil a été utilisé dans la fonctionnalité « Aperçu de mon profil » l’année
passée. Vous avez donc des chances, si vous avez été déconnecté, d’avoir été
touché directement touché par la faille. Même si pour le moment Facebook
affirme que ses autres services – Messenger, Instagram et WhatsApp – n’ont pas
été affectés par du piratage, “cela met surtout en lumière le fait que ce
risque existe”, a souligné The MIT Technology Review, qui rappelle par ailleurs
que c’est pour cette raison ( l’intégration croissante des données entre les
différents systèmes) que les fondateurs des différentes
applications ont quitté Facebook cette année.
En tout état de cause, Facebook a
aussi annoncé qu’il ne fournirait pas de protection contre le vol d’identité
aux millions d’utilisateurs dont les données personnelles ont été corrompues …
Magnifique !
=> Article
« Le Monde » du 15.10 à ce sujet :
Lancé en 2011 pour
contrer Facebook, le réseau social Google+ n'est jamais parvenu à s'imposer
auprès du grand public. Face à ce constat, et après avoir découvert une
importante faille de sécurité ayant potentiellement exposé les données
personnelles de quelque 500.000 usagers, Google a décidé de fermer ce service.
Google+, qui
revendiquait des millions d'utilisateurs, était principalement utilisé par des
professionnels s'intéressant à des sujets bien spécifiques et pouvant consulter
les mises à jour de leurs contacts via des « cercles ».
Google a indiqué avoir découvert et colmaté « immédiatement »
en mars une faille dans son réseau social Google+
ayant exposé des données personnelles d'un demi-million de comptes. À la suite
de cette faille et ayant constaté une grande inactivité des utilisateurs, le
géant de l'internet a décidé de fermer pour les
particuliers ce réseau social auquel sont automatiquement inscrites les
personnes possédant une adresse Gmail.
Le
nom des propriétaires de 500.000 comptes, leur adresse électronique, leur
profession, leur sexe et leur âge sont les principales données ayant été
exposées … d’où
l’utilité à chaque création de compte Google ou autre de bien être conscient
des informations personnelles que l’on donne .. et bien juger si un alias
, un pseudonyme ou une info qui respecte
juge la forme n’est pas plus indiqué à donner que ses coordonnées réelles …
elle ne sont pas toujours nécessaires ni indispensables … tout dépend de
l’utilisation du service ou de l’application à laquelle on s’inscrit !
« Des données postées par les
utilisateurs comme des messages, des informations sur le compte Google, des numéros de téléphone n'ont
pu être vues ni consultées » a déclaré le groupe de Mountain View
(Californie), « avançant toutefois qu'il ne pouvait identifier avec
certitude les utilisateurs touchés par la faille, ni leur localisation. » Outre le ½ million de comptes, jusqu'à 438 applications
sont également concernées par cette faille mise au jour lors d'un audit
interne. Google
a affirmé « que les développeurs d'applications n'étaient pas au courant
de la faille et ne se seraient donc pas servis des données exposées » …
Cela n’aura probablement pas les mêmes
répercussions que l’affaire Cambridge Analytica qui a ébranlé Facebook,
mais les tenants et les aboutissants sont exactement les mêmes : l’API
(interface entre les profils et les applications) de Google+ avait une faille
de sécurité qui laissait les développeurs accéder à des informations indiquées
comme privées par l’utilisateur. Ces informations (nom, adresse email,
métier, genre, âge) permettent de créer sans mal un profil publicitaire de
l’utilisateur ciblé, tout comme un profil politique pour orienter des
campagnes. Si Google affirme qu’il n’a connaissance d’aucun développeur ayant
pris connaissance du bug et utilisé l’API à ces fins, sa solution reste
radicale : fermer Google+ . Ce
n’est quand même pas anodin !
Google était informé depuis mars de
la faille de sécurité susceptible d'exposer des données personnelles des
utilisateurs de Google+, mais la firme a attendu six mois avant de la révéler
publiquement, à l'occasion de l'annonce de la fermeture du service. En Europe,
les Cnil enquêtent…
Google pourrait faire face à une enquête de la Federal Trade Commission pour son alerte
tardive de sécurité sur Google+. L'enquête ne porterait toutefois pas sur la
vulnérabilité elle-même,. C'est la décision de Google de ne pas révéler la
faille de sécurité en mars qui serait ciblée.
…. Mars, mois de la faillite des grandes plateformes
Selon un rapport du Wall Street
Journal, un mémo interne laisse entendre que Google n'a pas révélé
le problème, car il ne souhaitait pas être soumis à un contrôle des autorités
de régulation. Mars fut un mois où la question de la vie privée sur les
plateformes a été largement débattue.
C'est en effet également en mars
que Facebook
se débattait avec l'affaire Cambridge Analytica et devait réviser les conditions d'accès aux données par des tiers,
jugées trop permissives et dénuées de contrôle sur l'usage réel fait de ces
données.
Google a-t-il préféré garder le
silence pour éviter
d'être pris dans la tempête qui touchait alors Facebook, son premier rival
sur le marché de la publicité ?