Des employés de Facebook ont piraté des comptes contre des pots-de-vins

La faille était béante et les pirates s'y sont engouffrés. Le Wall Street Journal révèle que Meta – maison-mère de Facebook et Instagram – a licencié plus de "deux douzaines d'employés et sous-traitants l'année dernière", visés par des accusations de corruption. En clair, ces salariés auraient accepté des pots-de-vin de plusieurs milliers de dollars pour permettre à des pirates de s'approprier des comptes Facebook ou Instagram.

Pour un salarié du groupe, rien de plus simple. Si l'entreprise n'a pas de service client pour aider la récupération de comptes, elle dispose d'un outil interne qui permet de récupérer facilement un mot de passe perdu ou réactiver un compte suspendu.

Baptisé "Oops" pour "Online Operations", ce service est généralement la dernière étape pour y parvenir, après avoir échoué à utiliser les outils automatiques. Elle est en théorie destinée aux célébrités, aux partenaires de Meta ou aux personnes de l'entourage de Mark Zuckerberg. Confidentielle, elle est pourtant de plus en plus utilisée: de 22.000 fois en 2017 à 50.000 fois en 2020.

Business parallèle

Concrètement, un employé de Meta ou même un sous-traitant transmet une adresse mail d'un compte en cours de réinitialisation à une équipe d'assistance qui se charge de le relancer et de transmettre un nouveau mot de passe. Rien de compliqué.

Une faille de sécurité béante au sein de Meta qui a vu apparaître le développement d'un business parallèle. Contre plusieurs milliers de dollars, un entrepreneur s'est ainsi spécialisé dans la réactivation de comptes suspendus, grâce à une aide en interne.

"Lorsque vous supprimez le compte Instagram de quelqu'un qui a passé des années pour le créer, vous lui enlevez tous ses moyens de générer un revenu", se justifie ainsi Nick McCandless au Wall Street Journal.

Une manœuvre qui contrevient pourtant aux conditions d'utilisation du réseau social, rappelle Meta. Mais "Oops" peut surtout servir aux pirates. Un ancien agent de sécurité d'un sous-traitant de Meta est accusé d'avoir aidé "des tiers à prendre frauduleusement le contrôle de comptes Instagram" y compris après son licenciement en 2021.

L'homme assure de son côté avoir seulement "aidé des gens à récupérer leurs comptes." Une de ses collègues a aussi été licencié après avoir reçu des milliers de dollars en bitcoins pour des réinitialisations de comptes.