Un Bug Facebook Inconnu m’a fait croire que j’avais été piraté

Mes jambes étaient collées à la banquette arrière en vinyle d’un taxi de New York lorsque j’ai reçu le courriel un jeudi de juillet dernier. J’étais en retard à un rendez-vous chez le dentiste l’après-midi et j’envoyais des messages sur Facebook Messenger. La plupart des conversations portaient sur une histoire que je rapportais au sujet d’un groupe Facebook pour les victimes d’agression sexuelle, qui avait été dépassé par les agresseurs.

À l’époque, je communiquais avec l’un des agresseurs – qui utilisait un faux profil – dans l’espoir de découvrir comment ils avaient militarisé le groupe pour harcèlement. Au milieu de notre échange, j’ai reçu un courriel de Facebook, qui disait : “Nous voulions vous faire savoir que votre numéro de téléphone mobile avait été supprimé de votre compte. Pour cette raison, nous avons désactivé l’authentification à deux facteurs sur votre compte afin de nous assurer que vous ne soyez pas verrouillé lorsque vous utilisez un ordinateur ou un appareil mobile non reconnu pour vous connecter.”

Je n’avais pas enlevé mon numéro de téléphone ; j’ai immédiatement supposé que j’avais été piraté, surtout étant donné l’histoire que je rapportais. Comme des centaines de millions de personnes dans le monde, mon compte Facebook contient une décennie de ma vie. Mais dans ce cas-ci, mes messages contenaient aussi des histoires de harcèlement de la part de la même personne que je croyais avoir violé mon compte.

Le message ne comprenait pas un moyen facile d’aviser Facebook que je n’avais pas autorisé le changement, mais il y avait un bouton m’informant que je pouvais ajouter un nouveau numéro de mobile si je le désirais. Du taxi, j’ai appelé mon rédacteur en chef, ainsi qu’un autre collègue, pour tenter de contacter Facebook le plus rapidement possible.

Pendant que je faisais les cent pas dans le cabinet de mon dentiste et essayais d’expliquer la situation à la réceptionniste, mon collègue a réinitialisé mon mot de passe à partir d’un ordinateur portable au travail. Elle a vérifié les “sessions actives” sur mon compte, les appareils sur lesquels j’étais connecté. Elle n’a rien trouvé d’inhabituel, mon Facebook avait l’air normal.

À l’époque, Facebook n’avait rien trouvé de mal non plus. Je suis passé de l’authentification SMS à deux facteurs à l’une des nouvelles méthodes plus sécurisées de Facebook pour protéger mon compte, et j’espérais que tout allait bien.

C’est la preuve de la confiance implicite que nous accordons tous à Facebook pour protéger nos communications les plus sensibles.

Il s’avère que c’était surtout le cas. Cette semaine, Facebook a confirmé que j’avais rencontré un bogue qui désactivait automatiquement l’authentification à deux facteurs lorsque les utilisateurs modifiaient leur numéro de téléphone ou les paramètres de confidentialité qui y étaient associés. Dans mon cas, dans le cadre d’un ” contrôle de confidentialité ” sur Facebook avant d’envoyer un message au troll, j’avais rendu le numéro de mon compte visible uniquement pour moi. À cause de ce bogue, Facebook a cru que je supprimais complètement mon numéro et a désactivé l’authentification par SMS à deux facteurs.

Selon Facebook, le problème a touché ” un nombre très restreint de personnes “, bien qu’il n’ait pas précisé de chiffre. “Nous remercions Mme Matsakis d’avoir porté cette question à notre attention. Nous avons abordé la question dès que nous en avons eu connaissance. Nous continuons d’encourager les gens à appliquer l’authentification à deux facteurs, et si cette fonction de sécurité est désactivée pour quelque raison que ce soit, Facebook vous informera du changement “, a déclaré Pete Voss, responsable des communications de sécurité sur Facebook, dans un communiqué.

https://fr-fr.facebook.com/business/gdpr

Il ajoute que ce genre de problèmes sont régulièrement portés à l’attention de Facebook et que vous pouvez signaler votre propre problème ici. En tant que journaliste, j’ai pu joindre rapidement quelqu’un de l’équipe de communication de Facebook au téléphone et elle s’est assurée que mon cas soit traité. Mais la grande majorité des utilisateurs de Facebook qui rencontrent un problème de sécurité ne sont pas en mesure de parler à quelqu’un immédiatement. Un utilisateur normal de Facebook dans ma situation peut aussi avoir ignoré ou manqué l’e-mail initial concernant la désactivation de l’authentification à deux facteurs, laissant son compte beaucoup moins sécurisé que prévu.

C’est aussi le deuxième bogue d’authentification à deux facteurs par SMS dont Facebook a souffert cette année. En février, le réseau social a envoyé des messages de marketing non sollicités au numéro de téléphone avec lequel les utilisateurs se sont inscrits pour l’authentification à deux facteurs, un problème qu’il a admis plus tard était une erreur.

Au contraire, l’incident ne fait qu’alimenter l’argument selon lequel nous devrions tous nous éloigner de l’authentification par SMS à deux facteurs, pour des raisons plus pressantes que les bogues de Facebook.

Mais mon rendez-vous stressant chez le dentiste en juillet n’a pas seulement mis au jour une leçon sur l’hygiène de sécurité. C’est la preuve de la confiance implicite que nous accordons tous à Facebook pour protéger nos communications les plus sensibles. J’ai immédiatement pris pour vrai le scénario improbable que j’ai été piraté, même lorsque tous les signes indiquaient un problème avec les systèmes de Facebook. Les plateformes sur lesquelles nous comptons le plus sont construites par des humains, ce qui signifie qu’ils feront toujours des erreurs.