Piratage Facebook et incident Google+ : Votre site pourrait être affecté.

Facebook et Google ont tous deux annoncé récemment que des incidents de sécurité on compromit les données personnelles de millions d'utilisateurs. L'impact pourrait se faire sentir bien au-delà de ces 2 plateformes. Découvrez ce qui s'est passé, comment cela pourrait-il vous affecter ainsi que les actions recommandées suite à l'incident.

Le piratage de Facebook

Le 28 septembre, Facebook a annoncé que 50 millions de comptes avaient été piratés en raison d'une faille de sécurité. Le problème venait d'un bogue dans la fonction Voir en tant que qui permet aux utilisateurs de regarder leur profil comme s'ils étaient un membre du public et non le propriétaire du compte. Des pirates informatiques ont pu exploiter cette faille pour accéder à des comptes utilisateur ainsi qu'à tout compte d'application qui utilise Facebook comme moyen de connexion.

La brèche dans Google Plus

Le 8 octobre, Google a annoncé qu'entre 2015 et mars 2018, un demi-million de profils Google Plus avaient eu des informations personnelles exposées publiquement suite à une faille de sécurité dans le système disponible aux développeurs d'applications de cette plateforme. Plus précisément, le bogue dans le système permettait aux applications d'accéder au nom, à l'adresse courriel, à la profession, à l'âge, au sexe et plus encore, associés à un compte lorsque l'accès n'était pas marqué public par l'utilisateur.

Que signifient pour moi les piratages de Facebook et l'incident avec Google+?

Pour Facebook, cela signifie que des intrus pourraient avoir accès non seulement aux détails de votre compte Facebook, mais aussi à tout compte associé. Des applications comme Instagram, Tinder, ou Spotify, vous permettent de vous connecter en utilisant votre compte Facebook. Par conséquent, chacun de ces comptes (il y a environ 100 000 applications qui utilisent Facebook comme contrôleur d'accès) pourrait être compromis si votre compte Facebook a été piraté.

La brèche de Google Plus est moins préoccupante d'une part, mais plus préoccupante d'une autre. Selon Google, certaines informations privées (excluant les mots de passe) ont été rendues visibles publiquement, mais il n'y aurait pas de preuves que ces données ont été utilisées de façon illégitime par la suite. Ce qu'il y a de plus inquiétant dans cette histoire est le fait que Google était au courant du problème depuis au moins mars 2018 (date à laquelle le bogue a été corrigé) mais l'annonce n'a été faite publiquement qu'en octobre 2018, après qu'une investigation du Wall Street Journal ait découvert des traces du problème. Les responsables de ce département chez Google, et potentiellement les directeurs eux-mêmes, cherchaient donc activement à cacher cette nouvelle au public, sachant bien que le climat actuel pour une telle annonce ne leur était pas favorable (souvenez-vous de l'incident Cambridge Analytica affectant Facebook pendant cette période).

Qu'a dit Facebook à propos du piratage?

Le 2 octobre, Guy Rosen, vice-président de Facebook, a publié une déclaration disant qu'ils n'ont trouvé aucune preuve que d'autres sites ont été compromis, mais qu'ils continuent leur recherche sur l'incident.

Malheureusement, ce réconfort ne va pas plus loin. Comme 50 millions de comptes ont été piratés avant que l'équipe de sécurité de Facebook puisse identifier et arrêter l'attaque, il est probable que les pirates ont eu tout le temps de recueillir des données sensibles, et que ces données seront vraisemblablement utilisées, circulées et vendues par des organismes de cyberpirates pendant les prochaines années.

Qu'en est-il de la brèche de Google Plus?

À la surprise générale, Google a annoncé la fermeture de Google Plus pour les consommateurs au cours des 10 prochains mois. Quant à la brèche elle-même, la déclaration officielle, écrite par le vice-président de l'ingénierie de Google Ben Smith, déclare qu'ils n'ont trouvé aucune preuve que des données de profil ont été mal utilisées et que le problème a été résolu peu après sa découverte en Mars dernier.

Malheureusement, la déclaration officielle suscite encore des inquiétudes. Étant donné que les données de Google Plus ne sont conservées que pendant deux semaines, Google ne peut pas déterminer quels utilisateurs ont été affectés par le bogue. De même, le demi-million ne peut être considéré que comme "potentiellement affecté".

Ce manque de précision ainsi que le retard dans l'information du public à ce sujet sont, à juste titre, préoccupants.

Néanmoins, il y a des choses que vous pouvez faire pour protéger votre avenir.

Comment me protéger suite aux incidents avec Facebook et Google Plus?

Premièrement, si vous utilisez un système de connexion sur votre propre site qui se fie aux systèmes d'authentification de Google ou Facebook, songez à arrêter de les utiliser comme moyen de créer de nouveaux comptes. Cela peut être moins pratique pour certains, certes, mais pourrait vous éviter bien des problèmes à long terme.

Le problème principal avec l'utilisation d'un seul nom d'utilisateur et d'un seul mot de passe pour plusieurs comptes, est que vous risquez voir tous vos comptes compromis lorsqu'un seul mot de passe est compromis. Ça représente tout un casse-tête!

Pour une sécurité accrue, WHC recommande l'utilisation d'un gestionnaire de mots de passe, comme LastPass ou KeePass, qui créent des mots de passe complexes et les enregistrent dans un système sécurisé.

Deuxièmement, changez tous vos mots de passe aux 6 mois. Cela diminuera l'impact et le risque encouru en cas de brèche de sécurité.

Troisièmement, assurez-vous que le mot de passe est long et qu'il contient des lettres, des chiffres et des symboles. Plus un mot de passe est long et complexe, plus il est difficile à deviner ou à "cracker".

Quatrièmement, activez l'authentification à deux facteurs lorsque cela est possible. Ceci fournit une couche de sécurité supplémentaire lorsqu'un invité indésirable tente d'accéder à l'un de vos comptes.

Restez en sécurité,