« Que le hack commence : si Facebook a besoin d'argent, au lieu d'aller voir les banques, pourquoi Facebook ne laisse pas les utilisateurs investir dans Facebook d'une manière sociale ? Pourquoi ne pas transformer Facebook en un business social comme l'a décrit le Prix Nobel Muhammad Yunus ? Qu'en pensez-vous ? ». Voilà le message qui était affiché pendant quelques instants sur la page du fondateur du site dans la nuit du mardi 26 janvier, selon Techcrunch.
Le message comportait également un hashtag évoquant un concours de programmation baptisé Hacker Cup organisé ce mois par le réseau social. Ironie du sort, le site vient d'annoncer avoir renforcé sa sécurité en promettant l'arrivée imminente d'une fonction permettant d'activer le chiffrement en HTTPS de toute la session utilisateur...
Hack toi, toi-même
Ce hack rappelle également celui réalisé par deux fois contre la page de Nicolas Sarkozy. Sur ce point, l'Elysée s'est, pour l'instant, refusé à donner une explication. Pourtant certaines pistes peuvent être évoquées.
Tout d'abord, il existe de nombreux faux sites permettant via du phishing de se connecter au réseau social. L'internaute croit s'enregistrer mais il donne par ce biais les identifiants de son compte. Dès lors, on peut penser que l'utilisateur ait pu être induit en erreur. Venant de Zuckerberg ou d'un haut responsable, cette hypothèse reste cependant peu probable.
Par contre, on pourrait également imaginer que certaines permissions aient été accordées à une application malveillante. Une application dont l'accès au compte est permis aurait pu obtenir ainsi des informations censées être confidentielles. Une thèse que met notamment en avant l'éditeur de sécurité Panda.
L'hypothèse la plus crédible résiderait donc dans l'exploitation d'une vulnérabilité peu voire pas connue de l'ensemble des hackers. Sur ce point, une étude ainsi que de nouvelles informations seront nécessaires afin de démêler une partie de la vérité.
Autant de d'interrogations qui pourraient trouver leur réponse dans les méthodes d'ingénierie sociale. Par le biais de la question mystère (destinée à rappeler un mot de passe à un utilisateur), un internaute aurait pu récupérer l'identifiant de connexion. Un cas vécu par Sarah Palin pour son compte Yahoo mais qui ne viendrait pas expliquer le second hack de la page de Nicolas Sarkozy.
Enfin, au delà de la technique, on peut se demander si la tendance à attaquer des profils de personnes connues n'a pas pour motif de pointer du doigt les manques en matière de sécurité du réseau social. Une question sur laquelle les équipes de Zuckerberg devront plancher.
Mise à jour : Le responsable de la sécurité de Facebook, Joe Sullivan vient d'approuver l'hypothèse de la faille de sécurité.« Une vulnérabilité a permis à des tiers de publier des mises à jour de statuts sur quelques pages publiques » explique t'il à Cnet. Il faut donc croire que le piratage de la page de Nicolas Sarkozy et de Mark Zuckerberg a utilisé cette faille désormais comblée.