Facebook est au courant de la fuite massive des données depuis 2019 mais n’a prévenu personne

Dans un billet de blog, Facebook admet que la faille qui a provoqué la fuite des données de 533 millions d’utilisateurs est connue de ses services depuis 2019. Après avoir affirmé notifier les médias et autorités de son existence, le groupe fait volte-face en révélant qu’il s’agit en réalité d’une autre brèche. Ce dernier n’a pas jugé bon d’en informer les victimes car, selon lui, ils n'ont pas vraiment été en présence d’une vulnérabilité.

Facebook

Ce week-end, un pirate a diffusé les données personnelles de 533 millions d’utilisateurs Facebook, dont 20 millions de Français. Il s’agit sans conteste d’une des fuites les plus importantes de l’histoire du réseau social, qui n’en est pourtant pas à son coup d’essai. Parmi les informations publiées, on retrouve des noms de profil, des numéros de téléphone ou encore des adresses mail. Le groupe de Mark Zuckerberg s’est exprimé sur le sujet ce 6 avril en la personne de Mike Clark, directeur du management produit.

Ce dernier rapporte que la faille ayant provoqué la fuite est connue de Facebook depuis 2019. Elle aurait été rapidement colmatée en août de la même année. Mais un problème persiste, car Mike Clark admet que la brèche en question n’a fait l’objet d’aucune déclaration, contrairement aux deux autres affaires similaires révélées dans les mois qui ont suivis. Pour rappel, en septembre, on apprenait que 419 millions de numéros de téléphone avaient été lâchés dans la nature. En décembre, c’était cette fois 267 millions d’utilisateurs dont le numéro avait fuité.

Facebook n’a pas mentionné la faille à l’origine de la fuite des données

Mike Clark explique que les pirates se sont servis d’une faille dans la fonctionnalité d’importation de contacts. Bien que rapidement détectée et corrigée, il est impossible de savoir combien de fois cette dernière a été utilisée. Jusqu’alors, la communication autour de cet incident s’est restreinte à un bref commentaire dans un article de Forbes, paru en septembre 2019. À cette époque, un chercheur en cybersécurité a repéré une vulnérabilité dans le carnet d’adresses d’Instagram. Ce à quoi Facebook a répondu « être déjà au courant du problème grâce à une découverte en interne », avant d’assurer que le problème avait depuis été résolu.

Toutefois, il semblerait que l’article en question de Forbes concerne une tout autre faille que la dernière en date, bien que les deux soient relativement similaires. Facebook n’a donc en réalité prévenu ni les autorités ni les utilisateurs que leurs données avaient potentiellement été subtilisées. La Commission irlandaise de protection des données confirme cet état des faits en indiquant « n’avoir reçu aucune communication proactive de la part de Facebook » à ce sujet.

Sur le même sujet : Piratage de Facebook — comment savoir si mes données sont en danger

« De précédentes bases de données ont été publiées en 2019 et 2018 suite à un piratage à grande échelle du site web de Facebook, que Facebook a déclaré s’être produit entre juin 2017 et avril 2018, lorsque le réseau social a corrigé une faille dans sa fonctionnalité de recherche de numéros de téléphone », explique la Commission. « Étant donné que le piratage a eu lieu avant le RGPD [applicable depuis 2018, ndlr], Facebook a choisi de ne pas le notifier en tant que violation de données personnelles en vertu du RGPD. La base de données récemment publiée semble comprendre l’ensemble des informations originales de 2018 (avant le RGPD) et être associée à d’autres données, possiblement collectées ultérieurement. »

Facebook se justifie de manière hasardeuse

Le groupe de Mark Zuckerberg, par ailleurs lui aussi touché par la fuite, explique qu’il n’a pas jugé bon de signaler la faille car, selon lui, il y a déjà énormément de bases de données utilisateurs sur le web. De plus, pour exploiter la vulnérabilité, il était nécessaire de retrouver le numéro de téléphone de la victime pour y associer un nom. Pour Facebook, il n’en faut pas plus pour affirmer qu’il n’est pas responsable de la fuite des numéros de téléphones, ce qu’explique Mike Clark : « Il est important de comprendre que les personnes malveillantes ont obtenu ces données non pas en piratant nos systèmes, mais en les récupérant à partir notre plateforme avant septembre 2019 ».

Il y a donc une nuance à faire entre une fonctionnalité légitime mais peu prudente, et une véritable faille dans le système de données. Reste à juger si cette fuite massive résulte de l’une ou de l’autre. Toutefois, la différence n’est pas vraiment de taille pour les victimes, qui, dans un cas comme dans l’autre, voient leurs informations personnelles divulguées au grand jour. Du côté des pirates, le constat est similaire : peu importe la nature de l’outil, puisque celui-ci a permis la récolte de données. Qui plus est, il a rendu possible le lien entre numéros de téléphone et l’identité de son propriétaire, ce qui n’a probablement pas manqué de mener à d’autres violations de la vie privée.

« C’est une erreur de penser qu’une faille n’est pas importante simplement parce qu’elle ne contient pas de mots de passe ou d’autres données extrêmement sensibles », estime Zack Allen, directeur du renseignement sur les menaces chez ZeroFox, société spécialisée en cybersécurité. « C’est aussi une erreur de dire qu’une situation n’est pas si grave simplement parce que ce sont de vieilles données. De plus, les numéros de téléphone sont aujourd’hui souvent utilisés comme une forme d’authentification, ce qui peut être très effrayant [au vu de la situation] ».

De son côté, Facebook affirme être sur le pied de guerre pour réparer les dommages causés par la faille — ou la « faiblesse » selon le point de vue. « Nous nous concentrons sur la protection des données de nos utilisateurs en travaillant sur une solution pour les supprimer [des sites sur lesquelles elles sont hébergées] et nous continuerons à agir agressivement contre les personnes malveillantes qui utilisent nos outils pour de mauvaises raisons » écrit Mike Clark. « Bien que nous ne pouvons pas toujours empêcher la circulation de cette base de données ou l’apparition de nouvelles, nous avons une équipe dédiée à cette tâche ».

Source : Wired


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

Vous rêviez d’un MMO Le Seigneur des Anneaux ? Le jeu d’Amazon est annulé

On le sentait venir, c’est désormais confirmé : Amazon a abandonné son projet de développer un MMO dans l’univers du Seigneur des Anneaux. Un autre jeu pourrait toutefois voir le…

ChatGPT victime d’un piratage, OpenAI appelle ses utilisateurs sur Mac à mettre à jour l’application

OpenAI a confirmé avoir été la cible d’une cyberattaque cette semaine, cherchant à récolter les données personnelles des utilisateurs. Au final, plus de peur que de mal, mais la firme…

IA

Ninja brade son four à pizza avec cette double promotion : à vous les pizzas faites maison !

Vous connaissez Ninja pour ses airfryers au rapport qualité-prix imbattable, mais saviez-vous que le géant américain propose aussi de quoi préparer de délicieuses pizzas ? Normalement en vente à 379,99…

Forza Horizon 6 : vous devez absolument mettre à jour cette application pour jouer au jeu sur Windows 11

Playground Games, le studio développeur de Forza Horizon 6, vient de dévoiler une information de taille pour tous les joueurs PC. En effet, le jeu ne fonctionnera pas correctement tant…

Votre smartphone Samsung va bientôt s’assurer que vous ne ratiez aucune notification importante

Plusieurs lignes de code retrouvées au sein de One UI 9 laissent penser que Samsung travaille sur un système pour ne plus rater aucun notification. Pour cela, le géant coréen…

L’App Store tel qu’on le connaît pourrait bientôt disparaître à cause de l’IA, voici pourquoi

Apple avait récemment pris des mesures sévères contre certaines applications IA sur l’App Store. Un rapport révèle que la firme envisage désormais le mouvement inverse. La boutique d’applications de l’iPhone…

Windows 11 : Microsoft veut en finir avec les drivers défectueux qui mettent à genoux votre PC

Microsoft a annoncé la mise en place d’un nouveau programme censé résoudre l’un de pires problèmes de Windows 11. En effet, ce dernier vise à mettre fin au déploiement de…

Netflix va diffuser des films d’animation générés par IA

Netflix a créé un nouveau studio en interne, INKubator, dont la mission est de produire des courts-métrages animés à l’aide de l’IA générative. Si une partie du public opère une…

Galaxy Tab S11 Ultra 5G : avec 450 € de réduction, la tablette haut de gamme de Samsung est à son prix le plus bas pour quelques heures encore !

La tablette premium de Samsung vous fait de l’oeil, mais vous hésitez à sauter le pas ? La version 5G de la Galaxy Tab S11 Ultra est actuellement à prix…

HONOR confirme la date de sortie de son Robot Phone et dévoile un partenariat inattendu

Le HONOR Robot Phone n’était jusqu’ici qu’une promesse de salon. La marque vient de lui fixer une date de sortie concrète. Et elle s’est offert un partenaire de poids pour…

Retrouvez sur Phonandroid toute l’actualité autour de l’OS mobile de Google. Le site est une véritable mine d’or autour des produits Android et bien plus ! Vous cherchez un téléphone ou souhaitez maîtriser parfaitement le votre ? Nos articles, dossiers et tutoriels sont là pour vous informer et vous guider. Votre smartphone n’aura plus aucun secret pour vous. Nous vous ferons découvrir les meilleures applications android sur le Google Play. Si les tablettes vous intéressent, vous pourrez suivre l’actualité des différentes marques. Elles sont nombreuses et s’y retrouver est compliqué. Phonandroid et son forum sont là pour vous informer et vous guider.