Nouvelle communication autour de la brèche. Facebook a indiqué hier soir qu’après enquête, aucune donnée de services tiers liés au compte Facebook n’avait été volée, y compris les identifiants.

Le problème avait été soulevé le 28 septembre, relançant les débats sur les systèmes SSO (Single Sign-On). Ils proposent une infrastructure d’authentification sécurisée à de plus petits acteurs, évitant les risques – du moins dans un premier temps. Mais comme toute structure centralisée, si le système SSO a un problème, tous les services liés en ont un.

L’impact de la faille serait-il moins grand que prévu ? Selon Reuters, c’est l’avis d’une partie des experts en sécurité. Ils y voient l’une des conséquences du RGPD : annoncer le pire scénario pour s’assurer de couvrir tous les angles.

Alex Stamos, ancien directeur de la sécurité chez Facebook, note dans un tweet « l’impact intéressant de l’échéance à 72 heures » imposée par le Règlement pour tout signalement d’une brèche dans les données personnelles.

Selon lui, les entreprises vont être entraînées à faire des annonces cataclysmiques avant même qu’une enquête ne puisse fournir des éléments tangibles. Entre l’annonce et les résultats « réels », la confusion et les rumeurs auront fait leurs dégâts.

Bien sûr, rien de tout ça dans la communication officielle de Facebook. Dans un billet adressé aux développeurs, l’éditeur rappelle qu’ils n’ont rien à faire de particulier s’ils utilisent le SDK officiel. La déconnexion automatique des comptes affectés a bloqué tout risque, aucune donnée n’ayant été dérobée avant.

Pour les développeurs utilisant d’autres kits, Facebook travaille actuellement sur un outil pour que des tiers puissent identifier rapidement les utilisateurs concernés.