Les 900 millions d’utilisateurs du service de communication Messenger, de Facebook, ont été soumis à une faille de sécurité ayant pu altérer l’entier de leurs communications. Annoncée mardi matin, cette brèche a été détectée par la société israélienne Check Point et réparée par Facebook. Cette nouvelle intervient alors le directeur Mark Zuckerberg semble de son côté avoir été négligent avec la protection de plusieurs de ses comptes. En parallèle, Facebook affine sa stratégie pour gagner de l’argent avec Messenger, qui prend de plus en plus d’importance.

Check Point ne dit pas si la faille a été exploitée par des pirates informatiques – aucune revendication dans ce sens n’a émergé. La brèche a été détectée il y a quelques jours par la société israélienne, qui en a informé Facebook en 24 heures. Dix jours plus tard, la faille était colmatée. Celle-ci, baptisée «MalicousChat», aurait pu permettre à une tierce partie d’altérer à distance l’entier du contenu d’une conversation, en modifiant texte, images ou vidéo. Des liens vers des logiciels malveillants auraient pu être insérés, donnant potentiellement accès, à des pirates, au contenu de l’ordinateur de leurs victimes.

Données de Linkedin en vente

Pour un expert de Check Point, les tentatives d’attaques contre les services de messagerie vont se multiplier. Selon Daniel Wiley, cité par un site spécialisé, la barrière d’entrée est très basse: «Chercher l’identifiant d’un message et modifier son contenu ne demande pas beaucoup de compétences en matière de codage». Selon lui, Facebook, Twitter, Linkedin, Snapchat ou Apple sont aujourd’hui des cibles de choix des pirates. Il y a une semaine, l’on apprenait ainsi que 117 millions d’identifiants et mots de passe dérobés en 2012 chez Linkedin étaient en vente sur le marché noir.

Si les premiers responsables de la sécurité sont les sociétés high-tech, les utilisateurs de leurs services ont aussi leur part du travail à effectuer. Lundi, des pirates informatiques du collectif OurMine affirmaient avoir pu pirater les comptes Twitter et Pinterest de Mark Zuckerberg, directeur de Facebook. Le même mot de passe pour les deux services était «dadada», une combinaison de lettre qui peut être trouvée en moyenne en 5 secondes via des attaques dites de «force brute». Le piratage n’a pas causé de dégâts, Mark Zuckerberg étant inactif depuis 2012 sur Twitter et n’ayant posté que quatre photos sur Pinterest.

Migration forcée vers Messenger

En parallèle, Facebook force toujours plus ses utilisateurs à migrer vers son service de communication Messenger, dirigé par le Suisse David Marcus. Lundi, le site spécialisé TechCrunch révélait qu’il serait bientôt impossible, via le site mobile de Facebook, d’accéder à sa messagerie. Le but: obliger les clients à télécharger l’application Messenger. En 2014 déjà, le réseau social avait supprimé le service Messenger de son application principale, avec là aussi comme objectif d’inciter ses utilisateurs à télécharger Messenger.

Désormais, Facebook veut gagner de l’argent avec son application de messagerie, en permettant à des marques de dialoguer, via des robots («chatbots»), avec leurs clients. Aux Etats-Unis, il est ainsi déjà possible de commander un chauffeur Uber via Messenger. En France, l’assureur Axa et la SNCF utilisent aussi cette application pour communiquer avec leurs clients. Pour l’heure, aucun service de ce type n’est disponible pour les utilisateurs suisses du service de Facebook.

Lire aussi: