Un utilisateur d'un forum de piratage a publié samedi les numéros de téléphone et les données personnelles de centaines de millions d'utilisateurs de Facebook gratuitement en ligne.
Les données exposées comprennent les informations personnelles de plus de 533 millions d'utilisateurs Facebook de 106 pays, dont plus de 32 millions d'enregistrements sur les utilisateurs aux États-Unis, 11 millions sur les utilisateurs au Royaume-Uni, 6 millions sur les utilisateurs en Allemagne et près de 20 millions sur les utilisateurs en France. Il comprend leurs numéros de téléphone, identifiants Facebook, noms complets, lieux de résidence, anciens lieux de résidence, dates de naissance, biographies, situation matrimoniale et, dans certains cas, adresses e-mail.
Pour vérifier l’authenticité de ces enregistrements, certains médias ont examiné un échantillon des données divulguées et vérifié plusieurs enregistrements en faisant correspondre les numéros de téléphone des utilisateurs Facebook connus avec les identifiants répertoriés dans l'ensemble de données. Ils ont également vérifié les enregistrements en testant les adresses e-mail à partir de l'ensemble de données de la fonction de réinitialisation du mot de passe de Facebook, qui peut être utilisée pour révéler partiellement le numéro de téléphone d'un utilisateur.
Un porte-parole de Facebook a déclaré que les données avaient été supprimées en raison d'une vulnérabilité corrigée par la société en 2019.
Alors qu'elles datent de quelques années, les données divulguées pourraient fournir des informations précieuses aux cybercriminels qui utilisent les informations personnelles des gens pour se faire passer pour eux ou les escroquer selon Alon Gal, CTO de la société de renseignement sur la cybercriminalité Hudson Rock, qui a évoqué les données divulguées en ligne samedi.
« Une base de données de cette taille contenant les informations privées telles que les numéros de téléphone de nombreux utilisateurs de Facebook conduirait certainement à des mauvais acteurs profitant des données pour effectuer des attaques d'ingénierie sociale [ou] des tentatives de piratage », a déclaré Gal.
Gal a découvert les données divulguées pour la première fois en janvier lorsqu'un utilisateur du même forum de piratage a fait la promotion d’un bot automatisé qui pourrait fournir des numéros de téléphone à des centaines de millions d'utilisateurs de Facebook et qu’il était disposé à vendre. Les médias qui ont signalé l'existence de ce bot à ce moment ont vérifié que les données étaient authentiques. Voici ce qu'il expliquait en janvier 2021 :
« Début 2020, une vulnérabilité permettant de voir le numéro de téléphone lié à chaque compte Facebook a été exploitée, créant une base de données contenant les informations de 533 millions d'utilisateurs dans tous les pays. Elle a été gravement sous-déclarée et aujourd'hui, la base de données est devenue beaucoup plus inquiétante.
« Il y a quelques jours, un utilisateur a créé un robot Telegram permettant aux utilisateurs d'interroger la base de données pour un prix modique, permettant aux gens de trouver les numéros de téléphone liés à une très grande partie des comptes Facebook. Cela a évidemment un impact énorme sur la vie privée ».
Désormais, l'ensemble de données a été publié gratuitement sur le forum de piratage, ce qui le rend largement accessible à toute personne ayant des compétences rudimentaires en matière de données.
« Les 533 000 000 enregistrements Facebook ont été divulgués gratuitement. Cela signifie que si vous avez un compte Facebook, il est fort probable que le numéro de téléphone utilisé pour le compte ait été divulgué. Je n'ai pas encore vu Facebook reconnaître cette négligence absolue de vos données », a prévenu Alon Gal.
Gal a déclaré que, du point de vue de la sécurité, Facebook ne pouvait pas faire grand-chose pour aider les utilisateurs touchés par la violation puisque leurs données sont déjà à découvert, mais il a ajouté que Facebook pourrait informer les utilisateurs afin qu'ils puissent rester vigilants face à d'éventuels programmes de phishing ou fraude en utilisant leurs données personnelles.
« Les personnes qui s'inscrivent à une entreprise réputée comme Facebook leur font confiance avec leurs données et Facebook [est] censé traiter les données avec le plus grand respect », a déclaré Gal. « Les utilisateurs qui voient leurs informations personnelles divulguées constituent un énorme abus de confiance et doivent être traités en conséquence ».
Des fuites de données qui se multiplient
Ce n'est pas la première fois qu'un grand nombre de numéros de téléphone d'utilisateurs de Facebook sont découverts en ligne. En décembre 2019, le chercheur en sécurité Bob Diachenko a découvert une base de données non sécurisée contenant plus de 267 millions d'identifiants, de numéros de téléphone et de noms d'utilisateurs Facebook. La base de données n'était pas protégée par un mot de passe ou toute autre mesure de protection. Avant que l’accès à la base de données ne soit supprimé, les informations qu’elle contenait avaient été rendues publiques pendant près de deux semaines.
En septembre 2018, Facebook a révélé que près de 50 millions de comptes Facebook ont été compromis par une attaque qui a permis aux pirates de prendre le contrôle des comptes des utilisateurs. Le réseau social a précisé que la faille a été découverte par ses ingénieurs le mardi 25 septembre. Jeudi, un correctif était déjà disponible. Bien entendu, Facebook a assuré que les utilisateurs dont les comptes ont été affectés seraient notifiés. Plus tard, Facebook a estimé que la faille concernait environ 90 millions de comptes vulnérables à trois bogues liés à la fonctionnalité « Aperçu en tant que ».
« Je suis content que nous ayons trouvé cela et corrigé la vulnérabilité », a déclaré Mark Zuckerberg lors d’une conférence téléphonique avec des journalistes. « Mais c'est un problème que cela s'est produit en premier lieu. Je pense que cela souligne les attaques auxquelles notre communauté et nos services sont confrontés ».
Pourtant, les documents juridiques fournis lors d'un procès intenté contre Facebook ont montré que l’entreprise avait été avertie à maintes reprises par ses propres employés ainsi que par des personnes extérieures d’une faille qui pouvait être massivement exploitée par des pirates. Neuf mois avant la survenue du piratage en septembre 2018, des employés de Facebook ont interpellé leurs responsables, mais leurs alertes sont restées lettre morte. Facebook avait à plusieurs reprises omis de répondre de manière adéquate aux préoccupations soulevées dès décembre 2017 par ses propres ingénieurs qui craignaient que les jetons d’accès soient « faciles » à exploiter par les criminels. C’est pourquoi lorsque l’incident est survenu, certains employés ont commencé à parler de leur sentiment de « culpabilité » et de leur « souffrance », car ils savaient que l’attaque « aurait pu être évitée ».
Tout cela sans compter la campagne de manipulation orchestrée par l’entreprise Cambridge Analytica, une société spécialisée dans l’analyse de données (data mining), qui a permis de faire du profilage sur 87 millions de comptes pour manipuler l'opinion publique durant la campagne présidentielle américaine et durant le référendum relatif au Brexit en Angleterre.
Sources : Alon Gal, liste complète des pays affectés par la vulnérabilité
Et vous ?
Quelle lecture faites-vous de la situation ?
533 millions de numéros de téléphone et de données personnelles d'utilisateurs de Facebook ont été divulgués en ligne
20 millions appartiennent à des utilisateurs en France
533 millions de numéros de téléphone et de données personnelles d'utilisateurs de Facebook ont été divulgués en ligne
20 millions appartiennent à des utilisateurs en France
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !