Facebook est-il réellement sécurisé ?

Par Dryusdan le


Facebook, ce réseau de masse prévu au début pour se retrouver entre amis est maintenant utilisé par plus de 2 milliards de personnes sur cette bonne vieille Terre (incluant les doubles / triples / quadruples (etc) comptes). Autant vous dire qu'un silot de données comme ça, ça attire du monde et de toutes sortes... Des assurances, des banques à qui Facebook vend vos données (cf l'affaire Cambridge Analytica et l'affaire des 60 constructeurs de smartphone) ou encore des personnes moins recommandables comme des politiciens ou des voleurs de compte...

Pour Facebook (du fait de sa taille), la sécurité des comptes individuels ne semble pas être une priorité, comme avec un énième bug l'a dévoilé avec des status privées passés public ou encore celui qui a permis à un hacker de publier du contenu sur le mur de Mark Zukerberg.
Ces "bugs" sont peut-être de réels bugs liés à un code complexe ou bien tout simplement des bouts de code non testés et mis en production car ça fonctionnait. Mais toujours est-il qu'ils sont là et quand j'apprends ça d'une société qui songe à aider Pôle-Emploi pour former des gens, j'en ai le poil qui se hérisse.

Mais à quoi ça sert de voler un compte ?

Houla, alors j'ai grandement chercher une question à cette réponse... Au final des gens vols des comptes pour plusieurs raisons :

  • Le spam, les vols de comptes permettent l'envoie de message publicitaire qui sera vu et peut-être cliqué par vos ami-e-s
  • L'influence, pour qu'une personne soit "connu" ou reconnu comme étant connu, il faut qu'elle ai beaucoup "d'ami", donc voler un compte permet de suivre des personnes
  • Permettre de créer des sites d'arnaque avec des commentaires Facebook, car les commentaires de ce site sont "de confiance" selon certaines personnes (Par exemple les fameux commentaires "Whao, j'ai acheté l'Iphone à 1€ et deux semaines plus tard je l'ai reçu, ça marche vraiment !")
  • Et tout simplement se venger d'une ex disparu (par exemple)

Le vol de compte pour améliorer l'affluence

Durant les quelques années où j'ai utilisé ce réseau social, les évolutions liées à la sécurité des comptes étaient minimes, délicates et bien cachées.
Une des choses que j'ai reproché à Facebook (et à beaucoup d'autres d'ailleurs, excepté Microsoft ou Rockstar) en terme de sécurité est qu'ils ne se sont pas protégés contre les attaques de type bruteforce¹.
Ils ont aussi mis très longtemps avant de déployer la double authentification² (4-5 ans après Google et c'était encore très approximatif). Bien entendu, cela a été implanté sans que Facebook prévienne qui que ce soit.
Ajoutons à cela que le champ "création de mot de passe" est très basique et ne demande que des lettres, chiffres et ",;!." en terme de caractères spéciaux et que le système d'authentification est conçu pour permettre aux gens d'aller plus vite sur Facebook, non pour que cela soit plus sécurisé. On peut clairement affirmer que Facebook est pensé avant tout pour être très (trop ?) accessible et pas assez sécurisé vis à vis des comptes utilisateurs.

Nous allons voir quelques règles de base pour sécuriser son compte Facebook (et ses comptes en général)

Comment sécuriser son compte Facebook :

  • Utilisez des mots de passe forts, si possible uniques. Deux solutions s'offrent à vous :
    • Des "phrases de passe" par exemple : "27 roses ont poussés dans mon plancher". Il faut que ces phrases n'aient aucun sens, comme ça, elles seront inviolables.
    • Utilisez un outil de gestion de mot de passe type KeePassXC, couplez avec l'extension keepassxc browser, vous n'avez même plus besoin de taper le mot de passe ni de le copier, tout se gère tout seul.
  • Déconnectez-vous quand vous n'êtes pas sur votre ordinateur (ou même sur le vôtre si vous en avez envie).
  • Activez la double authentification en utilisant une application type andOTP.

Rien qu'avec ça vous serez tranquilles.

¹L'attaque de type bruteforce est une attaque qui va tester des combinaisons de mot de passe jusqu'à trouver le bon mot de passe, la bonne clé.
²La double authentification est une étape supplémentaire par laquelle le site envoie un SMS ou un mail avec un code à taper afin de pouvoir accéder à ce site. Il existe la méthode avec le protocole OTP qui permet à une application de générer ce code.