Fuite au sein de Facebook : les responsables irlandais de la protection des données interviennent

Facebook
Environ 9 millions d’utilisateurs en Allemagne, en Autriche et en Suisse sont également touchés par l’incident. (Source : IMAGO / CHROMORANGE)

La publication récente d’informations sur plus d’un demi-milliard d’utilisatrices et d’utilisateurs de Facebook a incité l’autorité irlandaise de protection des données, qui est responsable en Europe, à prendre des mesures : Facebook n’avait pas informé l’autorité de sa propre initiative. La société n’a apparemment pas non plus informé une grande partie des personnes concernées.

Des millions de citoyens allemands concernés

Ce week-end, les données sensibles d’environ 533 millions d’utilisateurs de 106 pays ont été découvertes sur un forum Internet. Il s’agit notamment d’adresses e-mail, de numéros de téléphone, de dates de naissance, du sexe, du statut relationnel et d’adresses de résidence des personnes concernées. D’après le site d’information allemand Golem.de, 2,5 millions des enregistrements contenaient des adresses e-mail et 510 millions des numéros de téléphone.

Selon les dernières données, Facebook compte 2,8 milliards d’utilisateurs actifs au moins une fois par mois. Les données des utilisateurs comprennent d’après le site Golem 6,05 millions d’entrées provenant d’Allemagne, ainsi que 1,25 million d’Autriche et 1,59 million de Suisse.

Une porte-parole de Facebook a déclaré sur Twitter qu’il s’agissait de données anciennes et qu’elles avaient été consultées avant que le réseau en ligne ne « corrige le problème » (« fixed the issue ») en 2019. Les utilisatrices et utilisateurs de Twitter ont alors demandé ce qui avait été corrigé exactement, si les données sont maintenant disponibles pour le téléchargement.

L’autorité irlandaise de protection des données souhaite désormais enquêter sur l’incident : « Suite à la couverture médiatique du week-end, nous enquêtons tout de même sur cette affaire afin de déterminer si l’ensemble de données correspond bien à celui de 2019. », a déclaré le commissaire adjoint irlandais à la protection des données Graham Doyle à la chaîne de télévision BBC (en anglais) .

Une attaque avec des outils de Facebook

Les numéros de téléphone prélevés n’étaient pas visibles publiquement sur Facebook et étaient stockés pour faciliter la recherche d’amis et de connaissances sur Facebook. Cependant, des inconnus ont trouvé le moyen de les siphonner pour de nombreux profils en manipulant la fonction de recherche d’amis de Facebook.

Facebook avait déjà admis en 2018 que vraisemblablement toutes les données des utilisateurs – alors déjà plus de deux milliards – accessibles publiquement avaient été prélevées systématiquement et de manière automatique. En 2019 déjà, les numéros de téléphone de 420 millions d’utilisateurs apparaissaient en ligne.

Dangers

Les adresses électroniques et les numéros de téléphone peuvent être utilisés pour contacter des personnes de manière ciblée et sans leur consentement, par exemple pour des tentatives de fraude ou des publicités non sollicitées. Si des informations personnelles associées, telles que des dates de naissance et des adresses, sont également en circulation, le risque d’usurpation d’identité augmente.

En effet, ces données sont utilisées par de nombreuses plateformes et prestataires de services pour les vérifications d’identité. Si un attaquant connaît une adresse électronique et une date de naissance, par exemple, il peut réinitialiser un mot de passe sur certaines plateformes. Les adresses publiées sont fondamentalement dangereuses pour quiconque fait des déclarations publiques controversées et pourrait de ce fait être par exemple la cible d’opposants politiques.

Les deux chercheurs en sécurité Moritz Gruber et Matteo Große-Kampmann ont également trouvé des informations personnelles de plus de 30 membres du Bundestag dans l’ensemble de données. D’après le site Golem, apparaissaient notamment Philipp Amthor (Union chrétienne-démocrate d’Allemagne, CDU), Martina Renner (parti La Gauche, die Linke) et Canan Bayram (parti Les Verts, die Grünen). Les chercheurs ont également trouvé deux hommes politiques populaires, Kevin Kühnert (Parti social-démocrate d’Allemagne, SPD) et Thomas L. Kemmerich (Parti libéral-démocrate, FDP) qui n’ont actuellement pas de siège au Bundestag. Les numéros de téléphone et les adresses de ces personnalités politiques étaient notamment disponibles.

S’adressant à la BBC, des experts en sécurité informatique ont exprimé leur inquiétude quant au caractère « immuable » d’une grande partie des données extraites. Il est impossible de modifier, et ce tout au long de sa vie, des informations telles que son lieu et sa date de naissance.

Alon Gal, l’expert en sécurité informatique qui avait rendu l’incident public a déclaré sur Twitter (en anglais): « Les acteurs malveillants utiliseront très certainement ces informations à des fins d’ingénierie sociale, d’escroquerie, de piratage et de marketing. » Si une personne possède un compte Facebook, il est très probable que le numéro de téléphone utilisé pour ce compte ait fait l’objet d’une fuite, a-t-il déclaré.

Les utilisateurs de Facebook n’ont d’autre choix que d’être d’autant plus vigilants face aux spams et aux attaques d’hameçonnage, et encore plus méfiants face aux courriels et aux appels téléphoniques suspects provenant d’inconnus. (dpa / hcz)