Facebook sert près de 2 milliards d'utilisateurs, dont plus d'un milliard au quotidien. Ces utilisateurs sont répartis dans le monde entier et chacun d'eux a un compte. La plupart de ces comptes sont simplement protégés par un password , ce qui signifie qu'une personne malveillante qui connaît votre adresse e-mail n'a besoin que d'une information supplémentaire pour voler votre compte. Facebook a la tâche difficile de trouver un moyen d'éviter cela sans déranger ou dérouter tous ces utilisateurs, dont les normes culturelles et les connaissances informatiques varient considérablement.
L'une des fonctionnalités de sécurité de Facebook est l'authentification à deux facteurs, que vous peut-être entendu parler . 2FA (l'abréviation courante) peut protéger votre compte même dans le cas où quelqu'un obtiendrait votre mot de passe. 2FA est généralement mis en œuvre via la messagerie SMS ou une application sécurisée comme Google Authenticator, bien que l'étalon-or soit un deuxième facteur physique . Les détails changent d'un service à l'autre, mais le processus général 2FA fonctionne comme ceci : 1) Vous entrez votre nom d'utilisateur et votre mot de passe. 2) Le site Web ou l'application vous amène à un autre écran, où vous êtes invité à entrer un code à usage unique généré par votre deuxième facteur. Voilà, vous êtes dedans !
Mais vous vous souvenez des milliards d'utilisateurs divers de Facebook ? Tous ne sont pas assez consciencieux pour lire les petits caractères. Il s'avère que vous pouvez activer 2FA sans vraiment savoir ce que vous faites et finir par bloquer votre compte. Facebook veut empêcher cela presque autant qu'il veut empêcher les pirates d'envahir la plate-forme.
Ainsi, la société offre aux utilisateurs qui activent 2FA une période de grâce d'une semaine pour décider s'ils le souhaitent vraiment. C'est facultatif, mais sélectionné par défaut. Avant la fin de la période de grâce, les utilisateurs peuvent choisir de se connecter comme d'habitude. Cela désactivera 2FA.
Tout le monde ne pense pas que c'est une bonne idée.
C'est le genre de politique de sécurité irresponsable et aveugle qui nuit aux gens, @Facebook . Arrêtez ces conneries. cc. @alexstamos pic.twitter.com/tVX7fczw37
-- Nadim Kobeissi (@kaepora) 25 mai 2017
Dans une certaine mesure, cela va à l'encontre de l'objectif de la création de 2FA en premier lieu. Un attaquant peut toujours accéder à votre compte en utilisant simplement votre mot de passe s'il parvient à frapper dans le délai de grâce.
Certains experts de la communauté de la cybersécurité trouvent le choix de conception de Facebook frustrant. Nadim Kobeissi?, créateur de l'application de messagerie cryptée Cryptocat, l'a appelé « le genre de politique de sécurité irresponsable et aveugle qui nuit aux gens ». Il a ajouté: 'Incroyable. J'ai passé une journée entière à essayer de comprendre pourquoi le Facebook d'un activiste social *restait* peu sûr même après 2FA.' Il s'est avéré que le délai de grâce était le coupable.
Ingénieur en sécurité Facebook Brad Hill a sonné pour dire que la fonctionnalité est « là pour protéger les personnes qui ne lisent pas les instructions lorsqu'elles font des choses conséquentes », soulignant que les utilisateurs ont le choix de savoir s'ils veulent ou non le délai de grâce :
Il est là pour protéger les personnes qui ne lisent pas les instructions lorsqu'elles font des choses conséquentes. pic.twitter.com/WHxoXSa4As
-- hillbrad (@hillbrad) 25 mai 2017
Kobeissi tiré en arrière , « Cela peut vous surprendre, mais lorsque vous traitez avec des gens de la région MENA, les implications de ces petits caractères ne font pas partie de leur modèle. » A quelle colline a répondu , 'Je ne suis en fait pas du tout surpris qu'il existe différents modèles mentaux pour le fonctionnement de la 2FA dans une population de près de 2 milliards de personnes. Je passe littéralement des heures chaque jour à y penser. Et je regarde les données. (Kobeissi a approfondi sa réflexion ici .)
Le responsable de la sécurité de Facebook Alex Stamos élaboré dans un tweetstorm : 'Comme pour les ceintures de sécurité, le mode de défaillance n°1 est le 2FA qui n'est pas utilisé. Je doute qu'un grand fournisseur ait mieux qu'une pénétration à un chiffre. Alors, blâmons-nous les personnes qui choisissent de ne pas utiliser des fonctionnalités destinées aux puristes de la sécurité, ou concevons-nous un système qui fonctionne pour tous ? Comme pour le [chiffrement de bout en bout], la 2FA est une technologie de retombée, demandée et mise en œuvre par des experts qui aiment débattre des cas critiques et des modes de défaillance.
Il a poursuivi en notant : « Rappelez-vous que l'adversaire obtient également un vote. Permettre aux comptes d'être verrouillés instantanément sera également abusé lors des prises de contrôle de compte.' En d'autres termes, les pirates qui prennent le contrôle d'un compte activeront 2FA afin d'empêcher les utilisateurs légitimes de récupérer leurs comptes. (Bien sûr, il serait étrange qu'un pirate informatique opte pour le délai de grâce.)
Les personnes qui comptent sur gestionnaires de mots de passe générer et stocker des mots de passe longs et uniques limitent efficacement leur risque. Les personnes qui utilisent les mêmes informations d'identification encore et encore pour divers services différents, en revanche, sont beaucoup plus faciles à cibler, car les bases de données de comptes et de mots de passe sont souvent violés et publié sur les darknets.
Facebook s'en rend compte, alors l'entreprise essaie d'aider les utilisateurs à se protéger. De toute évidence, il veut minimiser le nombre de comptes piratés.
Il est beaucoup plus difficile pour une personne malveillante de détourner un compte protégé par 2FA (bien qu'une ingénierie sociale intelligente, qui implique généralement de contacter les représentants de l'assistance de l'entreprise et de les tromper, puisse parfois faire l'affaire, et Les SMS ne sont pas parfaitement sécurisés ). La plupart des pirates veulent « pwn » (hacker-parler pour leur propre) un grand nombre de comptes rapidement et ne sont pas disposés à consacrer du temps et des efforts supplémentaires à un seul utilisateur.
En d'autres termes, assurer la sécurité des comptes Facebook est autant une question de compréhension du comportement humain que de création d'outils technologiques. Comme l'a dit l'ingénieur Brad Hill, lorsque vous traitez avec des milliards d'utilisateurs, vous devez vous adapter à de nombreux niveaux d'expérience différents et à différentes conceptions du fonctionnement de la sécurité. Toute option « taille unique » risque de décevoir certaines personnes.
