En ce début avril 2021, Facebook a connu l’une des plus grosses fuites de données de son histoire. Au total, ce sont 533 millions d’utilisateurs qui ont vu leurs nom, numéro de téléphone, adresses mail et autres être diffusés publiquement sur Internet. Que s’est-il passé ? Que faire pour obtenir réparation ? Comment a réagi Facebook ? On répond à toutes vos questions.

Les questions se bousculent suite à la publication de données de centaines de millions d’utilisateurs de Facebook. D’abord mis en ligne sur Telegram en janvier 2021, l’immense base de données s’est retrouvée sur un site dédié aux pirates. La moitié des utilisateurs français sont concernés par cette fuite.

L’affaire a été révélée le 3 avril par Alon Gal, cofondateur de l’entreprise experte en cybercriminalité Hudson Rock. Depuis, Facebook a reconnu les faits, tout en cherchant à se dédouaner. Nous avons résumé toutes les informations en lien avec la fuite, pour tenter d’y voir plus clair.

Quelle est l’ampleur de la fuite ?

Selon Alon Gal, 533 millions d’utilisateurs sont concernés par le piratage. En France, 20 millions de membres du réseau social sont touchés, soit la moitié du nombre total de comptes dans l’Hexagone. L’expert explique que la base de données est similaire à celle des centaines de millions de numéros de téléphone mis en vente sur Telegram en janvier 2021. Parmi les données subtilisées, on retrouve en plus le nom des profils associés, l’adresse mail de leurs propriétaires, dates de naissance ou encore le lieu de résidence. Pour l’heure, aucun mot de passe, coordonnées bancaires ou informations médicales n’a été dévoilé. Au total, les victimes sont originaires de 106 pays différents.

Comment les pirates s’y sont-ils pris ?

La faille qui a permis la fuite a été découverte en 2019 par les équipes de Facebook. Elle a été corrigée en août de la même année, mais n’a visiblement pas été détectée assez rapidement. Dans un communiqué officiel, Facebook précise que la vulnérabilité se trouve au sein de la fonctionnalité d’importation de contacts via un numéro de téléphone. Le groupe explique que « ces données ont été collectées avant septembre 2019 par des acteurs malveillants, non pas à la suite du piratage de nos plateformes, mais grâce à la technique du “scraping” qui permet, grâce à des logiciels, d’extraire des données publiques pour les diffuser sur certains forums Internet ». Les données se sont ensuite retrouvées en vente sur le dark web, puis gratuitement sur un forum.

Sur le même sujet : Facebook — une fuite montre que Mark Zuckerberg utilise Signal

Que risquent les victimes ?

La bonne nouvelle, c’est que la base de données ne contient aucune association identifiants/mots de passe. Les personnes y ayant accès ne pourront donc pas se connecter à un compte qui n’est pas le leur. Il en va de même pour les informations bancaires : en théorie, aucun vol d’argent ou transfert non désiré ne sera à déplorer. En revanche, cela ne veut pas dire que les données subtilisées ne peuvent pas être utilisées à des fins malveillantes. « Des personnes malintentionnées vont probablement se servir de ces informations pour du chantage, des arnaques et du marteking », estime Alon Gal. De plus, les cybercriminels ayant connaissance de nombreuses adresses mail, le risque de diffusion massive de campagnes de phishing est bien réel.

Puis-je savoir si j’ai été piraté ?

Oui. Nous avons publié un article qui explique comment vérifier si vos données ont été corrompues. Pour cela, il est possible de consulter la conséquente base de données HaveIBeenPwnd, qui a été mise à jour suite à la publication des informations personnelles. Par mesure de sécurité, vous ne pourrez cependant pas avoir accès à la ou les donnée(s) ayant fuitée(s). Si votre nom figure parmi ceux des victimes, on vous conseille fortement de modifier les identifiants de votre compte Facebook ainsi que, dans la mesure du possible, le numéro de téléphone associé.

Comment obtenir réparation ?

Alain Bensoussan, avocat spécialisé en fraude informatique et en cybercriminalité, explique à franceinfo qu’il existe quatre recours juridiques potentiels pour les victimes : « une action en responsabilité contre Facebook, une action en responsabilité contre un hacker (qui aurait utilisé les informations personnelles d’un utilisateur à des fins frauduleuses), une plainte auprès de la CNIL et une action de groupe devant les tribunaux ». Toutefois, il doute du bien fondé de la procédure. Selon lui, « il y aurait un décalage entre le coût de la procédure et le préjudice final », notamment parce que les pirates n’ont accès à aucune information sensible ou message privé.

Comment a réagi Facebook ?

Facebook s’est exprimé en la personne de Mike Clark, directeur du management produit au sein du groupe qui a publié un billet de blog le mercredi 7 avril. Dans ce dernier, le réseau social admet être au courant de la faille depuis 2019. Pour autant, il a décidé de ne prévenir ni les autorités ni les utilisateurs. Pour justifier son choix, il explique que « les personnes malveillantes ont obtenu ces données non pas en piratant [ses] systèmes, mais en les récupérant à partir [sa] plateforme avant septembre 2019 ». De plus, la fuite ayant eu lieu avant l’application du RGPD fin 2018, « Facebook a choisi de ne pas le notifier en tant que violation de données personnelles en vertu du RGPD », précise la Commission irlandaise de protection des données. De nombreux experts contestent cette décision, à l’instar de Zack Allen qui estime que « c’est une erreur de dire qu’une situation n’est pas si grave simplement parce que ce sont de vieilles données. De plus, les numéros de téléphone sont aujourd’hui souvent utilisés comme une forme d’authentification, ce qui peut être très effrayant [au vu de la situation] ».