Facebook est au courant de la fuite massive des données depuis 2019 mais n’a prévenu personne

Dans un billet de blog, Facebook admet que la faille qui a provoqué la fuite des données de 533 millions d’utilisateurs est connue de ses services depuis 2019. Après avoir affirmé notifier les médias et autorités de son existence, le groupe fait volte-face en révélant qu’il s’agit en réalité d’une autre brèche. Ce dernier n’a pas jugé bon d’en informer les victimes car, selon lui, ils n'ont pas vraiment été en présence d’une vulnérabilité.

Ce week-end, un pirate a diffusé les données personnelles de 533 millions d’utilisateurs Facebook, dont 20 millions de Français. Il s’agit sans conteste d’une des fuites les plus importantes de l’histoire du réseau social, qui n’en est pourtant pas à son coup d’essai. Parmi les informations publiées, on retrouve des noms de profil, des numéros de téléphone ou encore des adresses mail. Le groupe de Mark Zuckerberg s’est exprimé sur le sujet ce 6 avril en la personne de Mike Clark, directeur du management produit.

Ce dernier rapporte que la faille ayant provoqué la fuite est connue de Facebook depuis 2019. Elle aurait été rapidement colmatée en août de la même année. Mais un problème persiste, car Mike Clark admet que la brèche en question n’a fait l’objet d’aucune déclaration, contrairement aux deux autres affaires similaires révélées dans les mois qui ont suivis. Pour rappel, en septembre, on apprenait que 419 millions de numéros de téléphone avaient été lâchés dans la nature. En décembre, c’était cette fois 267 millions d’utilisateurs dont le numéro avait fuité.

Facebook n’a pas mentionné la faille à l’origine de la fuite des données

Mike Clark explique que les pirates se sont servis d’une faille dans la fonctionnalité d’importation de contacts. Bien que rapidement détectée et corrigée, il est impossible de savoir combien de fois cette dernière a été utilisée. Jusqu’alors, la communication autour de cet incident s’est restreinte à un bref commentaire dans un article de Forbes, paru en septembre 2019. À cette époque, un chercheur en cybersécurité a repéré une vulnérabilité dans le carnet d’adresses d’Instagram. Ce à quoi Facebook a répondu « être déjà au courant du problème grâce à une découverte en interne », avant d’assurer que le problème avait depuis été résolu.

Toutefois, il semblerait que l’article en question de Forbes concerne une tout autre faille que la dernière en date, bien que les deux soient relativement similaires. Facebook n’a donc en réalité prévenu ni les autorités ni les utilisateurs que leurs données avaient potentiellement été subtilisées. La Commission irlandaise de protection des données confirme cet état des faits en indiquant « n’avoir reçu aucune communication proactive de la part de Facebook » à ce sujet.

Sur le même sujet : Piratage de Facebook — comment savoir si mes données sont en danger

« De précédentes bases de données ont été publiées en 2019 et 2018 suite à un piratage à grande échelle du site web de Facebook, que Facebook a déclaré s’être produit entre juin 2017 et avril 2018, lorsque le réseau social a corrigé une faille dans sa fonctionnalité de recherche de numéros de téléphone », explique la Commission. « Étant donné que le piratage a eu lieu avant le RGPD [applicable depuis 2018, ndlr], Facebook a choisi de ne pas le notifier en tant que violation de données personnelles en vertu du RGPD. La base de données récemment publiée semble comprendre l’ensemble des informations originales de 2018 (avant le RGPD) et être associée à d’autres données, possiblement collectées ultérieurement. »

Facebook se justifie de manière hasardeuse

Le groupe de Mark Zuckerberg, par ailleurs lui aussi touché par la fuite, explique qu’il n’a pas jugé bon de signaler la faille car, selon lui, il y a déjà énormément de bases de données utilisateurs sur le web. De plus, pour exploiter la vulnérabilité, il était nécessaire de retrouver le numéro de téléphone de la victime pour y associer un nom. Pour Facebook, il n’en faut pas plus pour affirmer qu’il n’est pas responsable de la fuite des numéros de téléphones, ce qu’explique Mike Clark : « Il est important de comprendre que les personnes malveillantes ont obtenu ces données non pas en piratant nos systèmes, mais en les récupérant à partir notre plateforme avant septembre 2019 ».

Il y a donc une nuance à faire entre une fonctionnalité légitime mais peu prudente, et une véritable faille dans le système de données. Reste à juger si cette fuite massive résulte de l’une ou de l’autre. Toutefois, la différence n’est pas vraiment de taille pour les victimes, qui, dans un cas comme dans l’autre, voient leurs informations personnelles divulguées au grand jour. Du côté des pirates, le constat est similaire : peu importe la nature de l’outil, puisque celui-ci a permis la récolte de données. Qui plus est, il a rendu possible le lien entre numéros de téléphone et l’identité de son propriétaire, ce qui n’a probablement pas manqué de mener à d’autres violations de la vie privée.

« C’est une erreur de penser qu’une faille n’est pas importante simplement parce qu’elle ne contient pas de mots de passe ou d’autres données extrêmement sensibles », estime Zack Allen, directeur du renseignement sur les menaces chez ZeroFox, société spécialisée en cybersécurité. « C’est aussi une erreur de dire qu’une situation n’est pas si grave simplement parce que ce sont de vieilles données. De plus, les numéros de téléphone sont aujourd’hui souvent utilisés comme une forme d’authentification, ce qui peut être très effrayant [au vu de la situation] ».

De son côté, Facebook affirme être sur le pied de guerre pour réparer les dommages causés par la faille — ou la « faiblesse » selon le point de vue. « Nous nous concentrons sur la protection des données de nos utilisateurs en travaillant sur une solution pour les supprimer [des sites sur lesquelles elles sont hébergées] et nous continuerons à agir agressivement contre les personnes malveillantes qui utilisent nos outils pour de mauvaises raisons » écrit Mike Clark. « Bien que nous ne pouvons pas toujours empêcher la circulation de cette base de données ou l’apparition de nouvelles, nous avons une équipe dédiée à cette tâche ».

Source : Wired