C’est une immense fuite qui porte sur les données publiques de 533 millions de comptes Facebook. Près de 20 millions de français sont concernés. A l’origine, une vulnérabilité affectant la fonctionnalité d’imports de contacts que le réseau social propose aux utilisateurs. Désormais, les autorités de régulation ont ouvert des investigations. On vous dit tout dans cet article.
Fuite de données sur Facebook – Que s’est-il passé ?
L’affaire a été révélée par un tweet d’Alon Gal, cofondateur d’une société spécialisée dans la cybercriminalité, et largement médiatisée.
Un internaute a mis en ligne, sur un forum de discussion, une base de données portant sur pas moins de 533 millions de comptes Facebook, dont 20 millions de français. Au total, 106 pays seraient concernés.
Quelles données trouve-t-on dans la base ? Par exemple :
- Les Nom, prénom et date de naissance ;
- Le numéro de téléphone, l’adresse e-mail ;
- Le statut marital ;
- L’activité professionnelle.
En revanche, il n’y aurait pas d’informations financières, de données de santé ou de mots se passe.
Cette affaire montre à quel point la cybersécurité est désormais un enjeu crucial.
Cette fuite de données est une histoire ancienne. Elle avait en effet déjà été rapportée en 2019 par les médias.
Par la suite, les données ont circulé sur le Dark Net, dans un cadre confidentiel et restreint aux pirates. L’affaire ressurgit parce qu’elles connaissent une diffusion beaucoup plus étendue : la base de données a été intégralement et gratuitement mise en ligne sur des forums de discussion.
Qu’est-ce que le scraping et comment cela a-t-il rendu la fuite possible ?
Selon un post de Facebook, ces données ont été obtenues non pas en hackant le site mais par du scraping. Cette technique bien connue consiste à utiliser un logiciel pour aspirer automatiquement et piller des bases de données publiques. En l’occurrence les données rendues publiques sur des profils Facebook.
C’est l’import de contacts qui serait ici en cause. Tout utilisateur peut importer son carnet d’adresses et rechercher les profils Facebook de ses contacts.
Sauf que des individus malveillants auraient détourné cette fonctionnalité. Ils s’en seraient servis pour identifier des profils Facebook et collecter les données que les utilisateurs eux-mêmes ont rendu publiques, en fonction de leurs paramétrages de confidentialité.
Une vulnérabilité informatique a donc rendu possible ce détournement. Aujourd’hui, le réseau social considère cette affaire comme de l’histoire ancienne. Il déclare avoir corrigé la vulnérabilité en question en 2019. Et donc fait le nécessaire pour rendre impossible ce type d’agissements à l’avenir.
Les utilisateurs sont en outre invités à prendre des mesures pour améliorer la sécurité de leurs profils :
- changement des mots de passe ;
- actualisation des paramétrages de confidentialité pour modifier ce qui est rendu public ;
- basculement sur de la double authentification.
Quelles sont les conséquences de cette fuite de données sur Facebook ?
Quelques jours après la découverte de cette fuite, Facebook a publiquement déclaré qu’elle n’informera pas la base des personnes concernées de cette violation.
Ce car l’incident n’est pas dû à du hacking et qu’il concerne des données publiques. Le réseau social minimise aussi l’affaire en estimant qu’il s’agit de données anciennes.
L’impact est pourtant plus important qu’il n’y paraît :
- la base de données opère un rapprochement entre des numéros de téléphone et des profils Facebook, souvent nominatifs et donc bien réels. Elle offre par conséquent un véritable potentiel pour des attaquants informatiques qui pourront autant cibler directement ces personnes qu’usurper leurs identités.
- Quoique les faits soient relativement anciens, la base de données n’est pas périmée pour autant. Elle porte sur des données relativement stables, que l’on ne change pas souvent. Elle reste donc très intéressante aujourd’hui encore pour des hackers.
Les victimes de cette faille pourraient dès lors faire l’objet de cyberattaques en tous genres : Tentatives d’arnaques, piratage, usurpation d’identité…
Est-ce une violation de données ou non ?
Cette fuite de données peut-elle être considérée comme une violation de données au sens où l’entend le Règlement Européen RGPD ? Une violation de données désigne des accès non autorisés aux données à caractère personnel.
Pour le réseau social, il ne fait pas de doute que ce n’en est pas une. En tout cas, Facebook ne s’est pas sentie tenue de la notifier aux personnes qui en sont victimes.
La Commission Nationale de l’Informatique et des Libertés (CNIL) a quant à elle rapidement pris une position inverse.
Quelles seront les suites de cette affaire ?
La Data Protection Commission (DPC) irlandaise a annoncé ne pas avoir été saisie spontanément par Facebook. Elle compte néanmoins mener des investigations en tant qu’autorité chef de file, une démarche à laquelle la CNIL compte participer. De son côté, l’Autorité de la protection des données (APD) belge a même recommandé aux citoyens belges de porter plainte.
La question se posera naturellement de savoir si Facebook aurait ou non dû notifier cette violation de données au régulateur.
Se pose aussi la question du respect par le réseau social de ses obligations de sécurité.
Quoique Facebook déclare avoir corrigé la faille en 2019, le site Datanews rapporte qu’en 2017 déjà, un hacker l’avait alerté à propos de sa fonctionnalité. Une telle alerte signifierait que le réseau social était au courant de la vulnérabilité et a attendu les « premières » fuites de données pour la corriger.
Conclusion : Affaire à suivre
Cette affaire montre qu’une fois découverte, une fuite de données peut avoir un important impact médiatique. Et donc un impact non négligeable sur votre e-réputation.
D’où la nécessité de travailler votre niveau de cybersécurité et de vous assurer que vos activités sont conformes à vos obligations en la matière. Cela inclut bien sûr le cadrage de vos sous-traitants.
Il reste à présent à attendre que cette affaire soit examinée par les autorités de régulation.
Et puisque l’on parle de fuite, dernièrement, le réseau social Linkedin en a également fait l’objet d’une, celle-ci portant sur les données de 500 millions de profils
Article rédigé par Maxime Jaillet