Savoir si la faille de sécurité Facebook vous a touché, Réactions à la publication du 14/10/2018

[Lionel]

Fin septembre, Facebook a annoncé qu'une faille de sécurité a touché 50 millions de ses utilisateurs.
La société a dévoilé plus d'informations sur cette faille qui en fait était l'exploitation de plusieurs failles moins graves et qui a permis aux pirates de récupérer les jetons de connexion d'utilisateurs et ainsi d'accéder à leur compte comme s'ils en avaient le couple identifiant et mot de passe.
Facebook a mis en ligne une page d'explication destinée aux utilisateurs. Si vous êtes déjà connecté au site, il suffit d'aller sur cette page et de la défiler en bas. Vous saurez alors si votre compte fait partie de ceux piratés.

Lien vers le billet original

[kenzo05000]

Pas très sympa de ne donner que des explications en Anglais .....

[yponomeute]

Your privacy is incredibly important to us

[Som]

Su tu utilises FB, cette question en se pose même pas. La sécurité est déjà le moindre de tes soucis.

[Oncle Sophocle]

Fin septembre, Facebook a annoncé qu'une faille de sécurité a touché 50 millions de ses utilisateurs.
La société a dévoilé plus d'informations sur cette faille qui en fait était l'exploitation de plusieurs failles moins graves et qui a permis aux pirates de récupérer les jetons de connexions d'utilisateurs et ainsi d'accéder à leur compte comme s'ils en avaient le couple identifiant et mot de passe.
Facebook a mis en ligne une page d'explication destinée aux utilisateurs. Si vous êtes déjà connecté au site, il suffit d'aller sur cette page et de la défiler en bas. Vous saurez alors si votre compte fait partie de ceux piratés.

Lien vers le billet original

Bonjour Lionel

Et si on n'a pas de compte FB ? Je me suis inscrit au service municipal de transport public de ma ville (appelons le "Onvoustransporte"), qui assure transport public de voyageurs, location de vélos et de voitures. Après mon inscription, j'ai eu la surprise de recevoir un mail de FB m'informant que mon inscription auprès de Onvoustransporte a bien été enregistrée
Y aurait-il pas comme un os dans le boudin ?

Ce message a été modifié par Oncle Sophocle - 14 Oct 2018, 12:25.

[iAPX]

Avec cette façon de procéder, Facebook a franchi un cran, comme Apple d'ailleurs avec ses 1 To de données en Australie et Google +: on ne communique plus sur les failles au moment où on les comble, on ne prévient pas les personnes et/ou société touchées, les utilisateurs n'ont qu'à se débrouiller pour se tenir au courant. Opaque.

Ça a été un beau glissando très mélodieux de tous les grands acteurs depuis 2 ou 3ans mais là ça devient général, outre qu'ils ne réussissent pas à protéger nos données, que petit à petit on veut nous faire croire que c'est presque normal que celles-ci soient piratées par d'autres, on ne nous informe même plus dès que la chose est connue en interne.
Je l'ai appris cette semaine, non en allant sur mon compte Facebook, mais sur d'autres sites...

Dans les cas de Google+ et Facebook la faille vient de leurs développeurs. Là ils ajoutent l'irresponsabilité à l'incompétence.

Je recommande de mettre de moins en moins d'informations personnelles dans les "médias sociaux", non seulement à cause de l'usage qui en est fait contre nous, mais aussi car ils sont tout simplement incapables!

[Sethy]

Moi, plus que les réseaux sociaux, ce sont les employés qui balancent tout leurs agendas sur des "clouds" avec les heures, les titres, les invités, les notes, etc. et toutes les autres infos sensibles de leurs entreprises.

Quand on parle de ça en interne, la seule réponse c'est : "tu as autre chose à suggérer ?", sous-entendu qui fasse la même chose et qui ne nous coute rien ...

Les mêmes qui évidemment font un caca nerveux quand quelqu'un a oublié de prévenir qu'il fallait préparer un badge pour un technicien qui fait l'entretien et qu'on "by-pass" les procédures pour que le gars ne doive pas revenir un autre jour.

Ce message a été modifié par Sethy - 14 Oct 2018, 13:15.

[iAPX]

...
Les mêmes qui évidemment font un caca nerveux quand quelqu'un a oublié de prévenir qu'il fallait préparer un badge pour un technicien qui fait l'entretien et qu'on "by-pass" les procédures pour que le gars ne doive pas revenir un autre jour.

Ah la fameuse sécurité physique, qui témoigne d'une vision de sécurité "bonbon", parce que de nos jours quasiment seuls les acteurs gouvernementaux vont jusque là (je regrette l'âge d'or de Kevin Mitnick) et que surtout quand on est correctement sécurisé tous les contenus et les communications des ordinateurs sont chiffrées fortement, bloquant beaucoup d'attaques physiques (on a que des portables d'ailleurs, donc faut oublier les keyloggers physiques), se limitant à enregistrer des réunions alors que l'essentiel des communications se font via le Cloud.

Le Cloud, encore lui, et ses services sujets à des attaques en profondeur. Pas uniquement pour notre architecture serveur, mais toute notre stratégie, nos échanges, les détails, les clients...

Pas besoin de se compliquer à passer des sécurités, quand à un moment ou un autre tout ce qu'on échange, qu'on partage, sur lequel on travaille sera probablement hacké par un jeune très talentueux à des milliers de kilomètre de distance!
Quand Slack va se faire hacker, ça va faire très mal, et c'est pas "si" mais "quand"...

Ce message a été modifié par iAPX - 14 Oct 2018, 21:58.

[VSD]

Je ne me sens pas concerné, n'ayant pas de compte facebook !
Compte ou pas ne serions nous pas de toute façon en insécurité partout ?
Quand ce n'est pas Facebook, c'est Google, puis Intel, pois Microssoft, puis Apple, puis un autre et encore un autre... qui a une (voir plusieurs) faille de sécurité !
Alors sommes nous réellement en sécurité ?

Ce message a été modifié par VSD - 15 Oct 2018, 09:38.

[X_Gebo]

Avec cette façon de procéder, Facebook a franchi un cran, comme Apple d'ailleurs avec ses 1 To de données en Australie et Google +: on ne communique plus sur les failles au moment où on les comble, on ne prévient pas les personnes et/ou société touchées, les utilisateurs n'ont qu'à se débrouiller pour se tenir au courant. Opaque.

Ça a été un beau glissando très mélodieux de tous les grands acteurs depuis 2 ou 3ans mais là ça devient général, outre qu'ils ne réussissent pas à protéger nos données, que petit à petit on veut nous faire croire que c'est presque normal que celles-ci soient piratées par d'autres, on ne nous informe même plus dès que la chose est connue en interne.
Je l'ai appris cette semaine, non en allant sur mon compte Facebook, mais sur d'autres sites...

Dans les cas de Google+ et Facebook la faille vient de leurs développeurs. Là ils ajoutent l'irresponsabilité à l'incompétence.

Je recommande de mettre de moins en moins d'informations personnelles dans les "médias sociaux", non seulement à cause de l'usage qui en est fait contre nous, mais aussi car ils sont tout simplement incapables!

+1
Il serait grand temps que le législateur cadre tout ce petit monde.

[tedeka]

il suffit d'aller sur cette page et de la défiler en bas. Vous saurez alors si votre compte fait partie de ceux piratés.

Lien vers le billet original

Foutaises. Ils m'informent que mon compte n'a pas été piraté. Or, il l'a bien été : je ne pouvais plus me connecter, mon mot de passe avait été modifié et sans la double identification, j'étais cuit et je perdais mon compte. A peu près simultanément, mon site web -renseigné sur ma page FB- a aussi été hacké et j'ai du le mettre hors ligne en attendant de trouver une solution avec l'hébergeur (1and1). Merci FB ! Et d'après moi, ce n'est qu'un début. Chers utilisateurs, attendez-vous à bien des déboires...

Ce message a été modifié par tedeka - 15 Oct 2018, 10:45.

[SartMatt]

Foutaises. Ils m'informent que mon compte n'a pas été piraté. Or, il l'a bien été : je ne pouvais plus me connecter, mon mot de passe avait été modifié et sans la double identification, j'étais cuit et je perdais mon compte. A peu près simultanément, mon site web -renseigné sur ma page FB- a aussi été hacké et j'ai du le mettre hors ligne en attendant de trouver une solution avec l'hébergeur (1and1). Merci FB ! Et d'après moi, ce n'est qu'un début. Chers utilisateurs, attendez-vous à bien des déboires...

L'indication piraté ou non concerne uniquement la faille de sécurité découverte en septembre. Pas les comptes éventuellement piratés par un autre moyen. Et vu que ton mot de passe a été changé, c'est que celui qui a piraté le compte avait ton mot de passe, ce qui n'a donc probablement rien à voir avec une faille de sécurité côté FB (à moins qu'il y ait une faille qui permette de changer le mot de passe sans connaître l'ancien mot de passe... mais là encore, ce n'est pas la faille dont on parle ici)... Idem pour le piratage de ton site dans la foulé, je vois pas en quoi FB pourrait être responsable de ça...

[Oncle Sophocle]

Je ne me sens pas concerné, n'ayant pas de compte facebook !
Compte ou pas ne serions nous pas de toute façon en insécurité partout ?
Quand ce n'est pas Facebook, c'est Google, puis Intel, pois Microssoft, puis Apple, puis un autre et encore un autre... qui a une (voir plusieurs) faille de sécurité !
Alors sommes nous réellement en sécurité ?

Pas besoin de compte FB, il suffit d'avor communiqué ses données à un service qui a lui-même un compte FB : je l'explique dans mon post d'hier 13h19.

Ce message a été modifié par Oncle Sophocle - 15 Oct 2018, 11:13.

[tedeka]

Foutaises. Ils m'informent que mon compte n'a pas été piraté. Or, il l'a bien été : je ne pouvais plus me connecter, mon mot de passe avait été modifié et sans la double identification, j'étais cuit et je perdais mon compte. A peu près simultanément, mon site web -renseigné sur ma page FB- a aussi été hacké et j'ai du le mettre hors ligne en attendant de trouver une solution avec l'hébergeur (1and1). Merci FB ! Et d'après moi, ce n'est qu'un début. Chers utilisateurs, attendez-vous à bien des déboires...

L'indication piraté ou non concerne uniquement la faille de sécurité découverte en septembre. Pas les comptes éventuellement piratés par un autre moyen. Et vu que ton mot de passe a été changé, c'est que celui qui a piraté le compte avait ton mot de passe,

Génial de tirer des conclusions comme ça sans savoir ce qui s'est passé. Enfin soit...

Et bien non, ce mot de passe était connu de moi seul et "very strong" comme on dit en bon français.

En fait, un individu a réussi à se connecter à 3 reprises en l'espace de quelques heures à mon compte FB. Le mot de passe a bien-entendu été modifié à 3 reprises. Ensuite, j'ai constaté qu'il était impossible de me reconnecter et une alerte était à chaque fois envoyée à mon adresse mail pour me dire que mon mot de passe avait été modifié. J'ai donc du le réinitialiser, et pour que cela cesse, j'ai du changer les adresses mail de référence de mon compte et les "détruire" puisque le pirate semblait y avoir accès. Je suppose qu'il a pu avoir accès à des informations privées de mon compte FB, comme les adresses mail de référence, et ainsi, pouvoir modifier le mot de passe. Si je ne l'avais pas sécurisé par le système de double identification, je n'aurais pas pu le réinitialiser, et je perdais mon compte.

FB essaye seulement de rassurer quelques gogos qui s'imaginent que seul l'utilisateur peut être tenu responsable du piratage de son compte.

[SartMatt]

Foutaises. Ils m'informent que mon compte n'a pas été piraté. Or, il l'a bien été : je ne pouvais plus me connecter, mon mot de passe avait été modifié et sans la double identification, j'étais cuit et je perdais mon compte. A peu près simultanément, mon site web -renseigné sur ma page FB- a aussi été hacké et j'ai du le mettre hors ligne en attendant de trouver une solution avec l'hébergeur (1and1). Merci FB ! Et d'après moi, ce n'est qu'un début. Chers utilisateurs, attendez-vous à bien des déboires...

L'indication piraté ou non concerne uniquement la faille de sécurité découverte en septembre. Pas les comptes éventuellement piratés par un autre moyen. Et vu que ton mot de passe a été changé, c'est que celui qui a piraté le compte avait ton mot de passe,

Génial de tirer des conclusions comme ça sans savoir ce qui s'est passé. Enfin soit...

Génial de couper les phrases sans lire la suite : "à moins qu'il y ait une faille qui permette de changer le mot de passe sans connaître l'ancien mot de passe". Après, j'avais effectivement pas pensé à l’hypothèse de l'utilisation de la procédure de réinitialisation de mot de passe, puisque ça nécessite l'accès aux mails et que tu n'avais pas indiqué initialement que ta boîte mail semblait avoir été piratée elle aussi...

J'ai donc du le réinitialiser, et pour que cela cesse, j'ai du changer les adresses mail de référence de mon compte et les "détruire" puisque le pirate semblait y avoir accès. Je suppose qu'il a pu avoir accès à des informations privées de mon compte FB, comme les adresses mail de référence, et ainsi, pouvoir modifier le mot de passe.

Donc si en plus le pirate avait aussi accès à tes mails, en plus de ton compte FB et de ton site web, c'est bien que ça n'a strictement rien à voir avec la faille dont on parle ici (qui est une faille ayant permis de réutiliser des token d'accès, rien à voir avec les mots de passe), qui ne concerne que l'accès au compte Facebook, sans possibilité de changer le mot de passe, et sans donner l'accès à d'autres services totalement indépendants de Facebook...

Le plus probable est en fait ici que le premier compte piraté soit ton compte mail, et à partir de là, c'est effectivement relativement facile de pirater les autres comptes, sans que la responsabilité des opérateurs de ces comptes ne soit engagée.

[marc_os]

Bonjour Lionel

Et si on n'a pas de compte FB ? Je me suis inscrit au service municipal de transport public de ma ville (appelons le "Onvoustransporte"), qui assure transport public de voyageurs, location de vélos et de voitures. Après mon inscription, j'ai eu la surprise de recevoir un mail de FB m'informant que mon inscription auprès de Onvoustransporte a bien été enregistrée
Y aurait-il pas comme un os dans le boudin ?

Il y a surtout un os dans le service municipal de transport public de ta ville s'il t'a créé un compte FB à l'insu de ton plein gré !
Leur as-tu demandé des comptes ?

Ce message a été modifié par marc_os - 15 Oct 2018, 14:17.

[tedeka]

Le plus probable est en fait ici que le premier compte piraté soit ton compte mail, et à partir de là, c'est effectivement relativement facile de pirater les autres comptes, sans que la responsabilité des opérateurs de ces comptes ne soit engagée.

Honnêtement, je ne sais vraiment comment cela a pu être possible, ni par où cela a commencé.
Ce qui m'a surpris, c'est la simultanéité des événements.
Je ne comprends pas non plus comment mes comptes mail (2 en l’occurrence ici) ont pu être piratés, puisque le mot de passe était bien sécurisé.
L'un était rattaché à Orange, un vieux compte Wanadoo en fait, et l'autre à mon nom de domaine et me servait aussi à me connecter à FB.
Bon, l'orage semble passé, mais j'aimerais comprendre pour pouvoir me prémunir de ce type d'agression, et de perte de temps.

[SartMatt]

Je ne comprends pas non plus comment mes comptes mail (2 en l’occurrence ici) ont pu être piratés, puisque le mot de passe était bien sécurisé.

Ça peut venir par exemple d'un keylogger sur ton ordinateur, ou n'importe quel autre ordinateur que tu aurais utilisé pour te connecter à tes comptes mail. Ou un malware qui aurait récupéré la conf d'un client mail configuré pour ces comptes (j'ai connu un malware qui était spécialisé dans la récupération du fichier de configuration de WinSCP, pour l'accès à du stockage distant en SCP/SFTP/FTP, donc doit bien y en avoir aussi qui ciblent les confs des clients mail).

Si tes comptes étaient utilisés en POP/SMTP/IMAP et non dans les versions "S" de ces protocoles, on peut également imaginer une récupération du mot de passe par écoute du réseau, notamment si tu avais un routeur vulnérable ou si tu t'es connecté à un réseau tiers (Wi-Fi public, hôtel, McDo, etc...). Possible également avec les protocoles S, mais plus compliqué à mettre en œuvre.

Il peut également y avoir une faille chez le fournisseur de mail, ou encore un phishing qui aurait échappé à ta vigilance en te connectant au webmail.

Enfin, il y a aussi la possibilité que les données aient été récupérées sur du matériel que tu aurais revendu en oubliant de tout effacer, ou encore par un dépanneur malhonnête si tu as déjà laissé ton ordinateur en réparation quelque part...


Si tes deux comptes mail ont été piratés alors qu'ils avaient chacun leur propre mot de passe et qu'ils étaient totalement indépendants (ie tu n'avais pas par exemple compte A configuré en secours de compte B, ce qui permet de réinitialiser ou récupérer le mot de passe de B en ayant simplement accès à A), le plus probable pour moi c'est un malware (keylogger ou récupération des confs) sur un des postes que tu as utilisé pour consulter tes mails.

Le fait que tu n'ai pas perdu l'accès à ces comptes (donc que leur mot de passe n'a pas été changé) tend aussi à confirmer cette hypothèse, même dans le cas de compte liés, car les procédures de récupération via l'adresse de secours ne permettent en général pas de récupérer le mot de passe existant (un service qui te renvoi ton mot de passe existant quand tu demandes une récupération, c'est un service extrêmement mal sécurisé, puisque ça implique que les mots de passe y sont stockés en clair ou avec un chiffrement réversible, alors que le strict minimum en matière de sécurité c'est d'appliquer un hash irréversible sur les mots de passe !), elles obligent à en créer un nouveau.

[VSD]

Je ne me sens pas concerné, n'ayant pas de compte facebook !
Compte ou pas ne serions nous pas de toute façon en insécurité partout ?
Quand ce n'est pas Facebook, c'est Google, puis Intel, pois Microssoft, puis Apple, puis un autre et encore un autre... qui a une (voir plusieurs) faille de sécurité !
Alors sommes nous réellement en sécurité ?

Pas besoin de compte FB, il suffit d'avor communiqué ses données à un service qui a lui-même un compte FB : je l'explique dans mon post d'hier 13h19.

Je reste néanmoins sceptique... qu'un organisme quel qu'il soit t'ouvre un compte facebook parce que tu as été chez l'un ou l'autre en ayant rempli un formulaire...
C'est comme le droit à l'image, sans autorisation tu les attaques !

[Anowan]

Your privacy is incredibly important to us

...I bet it is !