Non je ne crois pas du tout à cette histoire de comptes Facebook piratés et mis en vente sur un forum est-européen(1), pour des raisons que je veux développer ici. Commençons par le nombre de comptes déclarés : 1,5 million. C'est effectivement énorme, surtout si l'on songe que le pirate "semble agir seul" selon Rick Howard, le directeur du cyber-renseignement d'iDefense. La méthode est des plus simples nous explique t-on, ces comptes ont été dérobés en devinant ou craquant le mot de passe. On oublie de préciser ici que le pirate a double peine, car il doit commencer par dérober ou deviner le login avant de s'attaquer au mot de passe. Et je ne vois pas comment il pourrait faire autrement pour "voler le compte" qu'en se connectant au site même de Facebook pour "tester" la combinaison login/mot de passe jusqu'à ce que ça marche. A aucun moment l'article ne prétend que le pirate s'y est pris autrement, par exemple en allant directement lire la base de données contenant les logins et mots de passe. Dit autrement, pirater ainsi 1,5 millions de compte revient à se connecter au minimum 1,5 millions de fois sur Facebook. Une vraie attaque par déni de service au final plus qu'une tentative sournoise de voler des comptes à l'insu des administrateurs réseaux de Facebook... Ensuite personne n'a fait remarquer que le programme de piratage doit avoir une fonction spéciale "je regarde le nombre d'amis", car cette caractéristique est également piratée d'après VeriSign. C'est surtout le but de la quête, puisque si ce nombre est supérieur à 10, le compte a une valeur marchande de...3 centimes d'euros(2). Enfin le pirate a aussi prit de son temps personnel pour créer lui-même des comptes à moins de 10 amis. A 25 dollars les 1.000 comptes ainsi créés, et si on compte 1 minute pour créer un compte sur Facebook, gagner 100 dollars lui prend rien moins que 65 heures, soit un travail rémunéré 1 Euro et 13 centimes de l'heure(3). Pas vraiment de quoi donner envie de se lancer dans l'affaire d'après moi. Pour résumer je conteste tout : le nombre de comptes concernés, la manière dont le pirate s'y est pris et le processus de revente. Sans compter que si le pirate "kirllos" a été démasqué, VeriSign ou iDefense n'a pas été au bout de la démarche en se faisant passer pour un acheteur potentiel afin de devenir "propriétaire" des comptes pour les identifier et mieux comprendre comment le piratage était possible et prévenir les victimes de ce cyber vol...
(1) Je ne relèverais pas plus que ça l'imprécision : un forum d'un pays de l'est c'est tout de même bien vague (2) 45 dollars les 1000 comptes d'après l'article. Comme il n'est pas fait état du "prix de marché", on ne voit pas très bien non plus si à ce prix c'est une affaire ou une arnaque. (3) 1,53 dollars de l'heure. Ni l'auteur de l'article, ni VeriSign ou iDefense n'ont fait le calcul semble t-il ... Tant que j'y pense l'article ne précise pas non plus que comme sur Facebook l'acceptation d'une amitié est une action volontaire il faut que là encore le pirate ait trouvé un moyen de générer automatiquement l'accord de l'amitié.
Complément du 27 avril 2010
Je découvre aujourd'hui que le journal Le Monde a relayé cette information. On n'y découvre aucun fait nouveau relativement aux arguments que j'ai énuméré ci-dessus, si ce n'est que désormais la méthode employée pour pirater les comptes est "inconnue". Exit également les comptes créés à la main. Quant au pirate il s'est transformé en courant d'air, on croit le savoir actuellement en Nouvelle-Zélande(4)...
(4) Je graisse ici tous les conditionnels de l'article : "Celui qui se fait appeler "Kirllos"vendrait pour 25 dollars (18,75 euros) les mille profils ayant moins de dix amis (...) " ; "Selon le site spécialisé Mashable, sept cent mille comptes du réseau social (...) auraient déjà trouvé preneur" ; selon le site eWeek, [le pirate] "serait originaire de l'Europe de l'Est et parlerait russe".