IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

533 millions de numéros de téléphone et de données personnelles d'utilisateurs de Facebook ont été divulgués en ligne
20 millions appartiennent à des utilisateurs en France

Le , par Stéphane le calme

629PARTAGES

23  0 
Un utilisateur d'un forum de piratage a publié samedi les numéros de téléphone et les données personnelles de centaines de millions d'utilisateurs de Facebook gratuitement en ligne.

Les données exposées comprennent les informations personnelles de plus de 533 millions d'utilisateurs Facebook de 106 pays, dont plus de 32 millions d'enregistrements sur les utilisateurs aux États-Unis, 11 millions sur les utilisateurs au Royaume-Uni, 6 millions sur les utilisateurs en Allemagne et près de 20 millions sur les utilisateurs en France. Il comprend leurs numéros de téléphone, identifiants Facebook, noms complets, lieux de résidence, anciens lieux de résidence, dates de naissance, biographies, situation matrimoniale et, dans certains cas, adresses e-mail.

Pour vérifier l’authenticité de ces enregistrements, certains médias ont examiné un échantillon des données divulguées et vérifié plusieurs enregistrements en faisant correspondre les numéros de téléphone des utilisateurs Facebook connus avec les identifiants répertoriés dans l'ensemble de données. Ils ont également vérifié les enregistrements en testant les adresses e-mail à partir de l'ensemble de données de la fonction de réinitialisation du mot de passe de Facebook, qui peut être utilisée pour révéler partiellement le numéro de téléphone d'un utilisateur.

Un porte-parole de Facebook a déclaré que les données avaient été supprimées en raison d'une vulnérabilité corrigée par la société en 2019.

Alors qu'elles datent de quelques années, les données divulguées pourraient fournir des informations précieuses aux cybercriminels qui utilisent les informations personnelles des gens pour se faire passer pour eux ou les escroquer selon Alon Gal, CTO de la société de renseignement sur la cybercriminalité Hudson Rock, qui a évoqué les données divulguées en ligne samedi.

« Une base de données de cette taille contenant les informations privées telles que les numéros de téléphone de nombreux utilisateurs de Facebook conduirait certainement à des mauvais acteurs profitant des données pour effectuer des attaques d'ingénierie sociale [ou] des tentatives de piratage », a déclaré Gal.

Gal a découvert les données divulguées pour la première fois en janvier lorsqu'un utilisateur du même forum de piratage a fait la promotion d’un bot automatisé qui pourrait fournir des numéros de téléphone à des centaines de millions d'utilisateurs de Facebook et qu’il était disposé à vendre. Les médias qui ont signalé l'existence de ce bot à ce moment ont vérifié que les données étaient authentiques. Voici ce qu'il expliquait en janvier 2021 :

« Début 2020, une vulnérabilité permettant de voir le numéro de téléphone lié à chaque compte Facebook a été exploitée, créant une base de données contenant les informations de 533 millions d'utilisateurs dans tous les pays. Elle a été gravement sous-déclarée et aujourd'hui, la base de données est devenue beaucoup plus inquiétante.

« Il y a quelques jours, un utilisateur a créé un robot Telegram permettant aux utilisateurs d'interroger la base de données pour un prix modique, permettant aux gens de trouver les numéros de téléphone liés à une très grande partie des comptes Facebook. Cela a évidemment un impact énorme sur la vie privée ».

Désormais, l'ensemble de données a été publié gratuitement sur le forum de piratage, ce qui le rend largement accessible à toute personne ayant des compétences rudimentaires en matière de données.

« Les 533 000 000 enregistrements Facebook ont été divulgués gratuitement. Cela signifie que si vous avez un compte Facebook, il est fort probable que le numéro de téléphone utilisé pour le compte ait été divulgué. Je n'ai pas encore vu Facebook reconnaître cette négligence absolue de vos données », a prévenu Alon Gal.


Gal a déclaré que, du point de vue de la sécurité, Facebook ne pouvait pas faire grand-chose pour aider les utilisateurs touchés par la violation puisque leurs données sont déjà à découvert, mais il a ajouté que Facebook pourrait informer les utilisateurs afin qu'ils puissent rester vigilants face à d'éventuels programmes de phishing ou fraude en utilisant leurs données personnelles.

« Les personnes qui s'inscrivent à une entreprise réputée comme Facebook leur font confiance avec leurs données et Facebook [est] censé traiter les données avec le plus grand respect », a déclaré Gal. « Les utilisateurs qui voient leurs informations personnelles divulguées constituent un énorme abus de confiance et doivent être traités en conséquence ».

Des fuites de données qui se multiplient

Ce n'est pas la première fois qu'un grand nombre de numéros de téléphone d'utilisateurs de Facebook sont découverts en ligne. En décembre 2019, le chercheur en sécurité Bob Diachenko a découvert une base de données non sécurisée contenant plus de 267 millions d'identifiants, de numéros de téléphone et de noms d'utilisateurs Facebook. La base de données n'était pas protégée par un mot de passe ou toute autre mesure de protection. Avant que l’accès à la base de données ne soit supprimé, les informations qu’elle contenait avaient été rendues publiques pendant près de deux semaines.

En septembre 2018, Facebook a révélé que près de 50 millions de comptes Facebook ont été compromis par une attaque qui a permis aux pirates de prendre le contrôle des comptes des utilisateurs. Le réseau social a précisé que la faille a été découverte par ses ingénieurs le mardi 25 septembre. Jeudi, un correctif était déjà disponible. Bien entendu, Facebook a assuré que les utilisateurs dont les comptes ont été affectés seraient notifiés. Plus tard, Facebook a estimé que la faille concernait environ 90 millions de comptes vulnérables à trois bogues liés à la fonctionnalité « Aperçu en tant que ».

« Je suis content que nous ayons trouvé cela et corrigé la vulnérabilité », a déclaré Mark Zuckerberg lors d’une conférence téléphonique avec des journalistes. « Mais c'est un problème que cela s'est produit en premier lieu. Je pense que cela souligne les attaques auxquelles notre communauté et nos services sont confrontés ».

Pourtant, les documents juridiques fournis lors d'un procès intenté contre Facebook ont montré que l’entreprise avait été avertie à maintes reprises par ses propres employés ainsi que par des personnes extérieures d’une faille qui pouvait être massivement exploitée par des pirates. Neuf mois avant la survenue du piratage en septembre 2018, des employés de Facebook ont interpellé leurs responsables, mais leurs alertes sont restées lettre morte. Facebook avait à plusieurs reprises omis de répondre de manière adéquate aux préoccupations soulevées dès décembre 2017 par ses propres ingénieurs qui craignaient que les jetons d’accès soient « faciles » à exploiter par les criminels. C’est pourquoi lorsque l’incident est survenu, certains employés ont commencé à parler de leur sentiment de « culpabilité » et de leur « souffrance », car ils savaient que l’attaque « aurait pu être évitée ».

Tout cela sans compter la campagne de manipulation orchestrée par l’entreprise Cambridge Analytica, une société spécialisée dans l’analyse de données (data mining), qui a permis de faire du profilage sur 87 millions de comptes pour manipuler l'opinion publique durant la campagne présidentielle américaine et durant le référendum relatif au Brexit en Angleterre.

Sources : Alon Gal, liste complète des pays affectés par la vulnérabilité

Et vous ?

Quelle lecture faites-vous de la situation ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Pierre Louis Chevalier
Expert éminent sénior https://www.developpez.com
Le 04/04/2021 à 15:39
Ce qui est nouveau c'est la mise en ligne gratuite de cette base de données, donc ca va porter plus de préjudices aux concernés (spam, robocall, usurpations, etc).
Tous le monde n'a pas changé son tel ou son email depuis ce temps et a cause de ça...
Ca veux dire qu'une société de marketing peut aspirer tous ces numéros ou ces emails, bon c'est pas légal mais certains ne vont pas se gêner.
Je suis régulièrement abonné de force à des publicités par email alors que j'ai rien sollicité, et certaines des ces publicités par email n'ont même pas de lien de désabonnement, y compris de sociétés basées en France et ayant pignon sur rue, mais que fait la CNIL ?
Pareil pour les tels, je suis appelé par des sociétés à qui ne j'ai pas donné mon tel, alors que je ne suis sur aucun annuaire, d'où elle ont pris mon tel, et de quel droit elles osent me déranger ?
Donc on a deux problèmes : les sociétés qui se font pirater leurs infos, comme Facebook, et les sociétés de marketing qui reprennent illégalement ces infos pour nous spammer, dans les deux cas c'est une honte, et la CNIL n'à pas l'air de faire grand chose, à part sanctionner au hasard une société de temps en temps d'un montant souvent pas assez dissuasif, et le plus gros continue à gérer leur business illégal en toute impunité.
7  0 
Avatar de Kayzenne
Membre régulier https://www.developpez.com
Le 08/04/2021 à 11:27
Qu’en pensez-vous ?

C'est hallucinant de constater que même à l'echelle de Facebook, ce genre d'incident est encore trop commun.

Avez-vous vérifié sur haveibeenpwned ? Vos données sont-elles concernées par la fuite ?

Je viens de vérifier et oui... Or je tiens à préciser que mon numéro de téléphone n'a été "public" (seulement mes amis) durant une courte période entre 2012 et 2015. Depuis tous mes paramètres de confidentialité sont au maximum.
Plusieurs éléments relevés concernant la suppression des données et la communication de FaceBook par rapport à ces failles sont une fois de plus à remettre en question.
En espérant que la justice fasse son travail.
7  0 
Avatar de pcdwarf
Membre éprouvé https://www.developpez.com
Le 21/04/2021 à 14:56
Pour que des données ne "fuient" pas, il faut commencer par ne pas les créer sans nécessité, et surtout ne pas les confier à des tiers dont tout le modèle économique repose sur leur exploitation.
8  1 
Avatar de maxtal
Membre actif https://www.developpez.com
Le 25/10/2021 à 12:10
Ça me semble légitime de poursuivre l'auteur de ce hold-up, mais je trouve ça étonnant que facebook ne soit pas inquiété pour manquement. C'est eux qui sont responsables de l'intégrité et la sécurités des données de leurs utilisateurs il me semble.
6  0 
Avatar de phil995511
Membre éprouvé https://www.developpez.com
Le 21/04/2021 à 12:57
FB est une boîte vraiment ignoble qui diffusent vos données personnelles en douce totalement illégalement dans votre dos, le pire étant qu'ils trouvent cela normal... on devrait prendre des mesures très sérieuses à leur encontre en Europe.

"En supposant que le volume de la presse continue de diminuer, nous ne prévoyons pas de déclarations supplémentaires sur cette question. À plus long terme, cependant, nous nous attendons à davantage d'incidents de scraping et nous pensons qu'il est important à la fois d'en faire un problème industriel général et de normaliser le fait que cette activité se produit régulièrement."

Perso ça fait belle lurette que j'ai résilié mon compte chez eux, je m'étonne du fait qu'ils aient encore des abonnés.
6  1 
Avatar de plegat
Expert éminent https://www.developpez.com
Le 21/04/2021 à 17:16
Citation Envoyé par tanaka59 Voir le message

Une fuite de donnée n'ai en rien "normal". Si les équipes IT de chez Facebook sont des bras cassés de la sécu IT ... bah qu'ils changent d'employés.
Même en changeant d'employés, tu n'auras jamais une garantie à 100% des données.
LA seule et unique garantie à 100%, ça serait d'avoir toute tes données sur un serveur déconnecté du réseau... dans une pièce fermée... dont personne n'a la clef de la porte... d'ailleurs qu'il n'y ait pas de porte... et pour plus de sécurité, tu éteins le serveur... et tu le brûles (non, n'allez pas mettre vos données chez OVH! )

Citation Envoyé par tanaka59 Voir le message

Se faire dépouiller quelque chose qu'une autre personne nous prête
Euh... tu n'as pas lu les petites lignes du contrat de chez Facebook... tu ne prêtes pas... tu donnes...

Citation Envoyé par tanaka59 Voir le message

Le banquier qui fait le con avec l'argent de ces clients est autant responsable que facebook.
Là tu as tout dit... le dernier banquier qui soit allé en prison, c'était qui et quand?

Citation Envoyé par tanaka59 Voir le message

J'ai aussi fait drastiquement le ménage. J'ai limité au strict nécessaire mon utilisation de facebook (famille , ami, connaissance associative ...) .
Et donc?
Si ils ont tes données perso, que tu n'ailles voir que trois personnes ou la moitié de la Terre, ça ne changera rien en cas de fuite de données.
Que tu résilies ton compte, ça ne change rien non plus...
Comme l'as dit pcdwarf, si tu veux limiter la diffusion d'information, il faut limiter l'information...

Après, sinon, je trouve le titre un peu racoleur.
Sans chercher à défendre Facebook (dont je ne suis pas un fervent activiste ni un membre extrêmement actif), ça serait effectivement "cool" de normaliser le fait que les fuites de données existent... juste histoire de sensibiliser les utilisateurs et qu'ils comprennent les risques qu'ils prennent à leur refiler des tonnes d'informations à une boîte qui les perd régulièrement! Certains diront que ça serait également cool pour Facebook de normaliser le fait de sécuriser les données de ses clients, sauf que nous ne sommes pas les "clients" sur ce coup...
5  0 
Avatar de ormond94470
Membre actif https://www.developpez.com
Le 06/04/2021 à 19:11
Citation Envoyé par Mingolito Voir le message
Donc si j'ai bien compris il s'est doublement ridiculisé, d'une part en faisant parti du lot de ceux qui se sont fait pirater leurs données via son appli passoire, et d'autre part en se faisant prendre la main dans le sac en utilisant un produit de la concurrence qu'il avait par le passé critiqué publiquement ?
Son profil est comme celui d'un autre, ça la fou mal pour Facebook surtout, et il a pu s'inscrire sur signal pour tester la concurrence, critiquer un produit qu'on n'a pas utilisé serait ridicule pour le coup. Cela ne veut pas dire qu'il l'utilise quotidiennement.
4  0 
Avatar de emilie77
Membre éprouvé https://www.developpez.com
Le 08/04/2021 à 11:17
Existe quelqu'un, une commission internationale, qui entre dans le db de facebook pour verifier qu'ils effacent les données?
Si un de mes amis a mon numero sur son smartphone et sincronise avec messenger/whatsapp, facebook a aussi mon numero? Il le enregistre quelque part?
4  0 
Avatar de petitours
Membre chevronné https://www.developpez.com
Le 16/04/2021 à 8:43
Citation Envoyé par Kayzenne Voir le message
Avez-vous vérifié sur haveibeenpwned ? Vos données sont-elles concernées par la fuite ?
ça ne vous dérange pas de filer des infos à un tel site ?

Je vous propose havemycreditCardOk.com demain si vous voulez, uniquement pour la bonne cause c'est promis.

Plus c'est grossier, plus ça passe comme Facebook pratique depuis le départ.
4  0 
Avatar de flopal
Membre à l'essai https://www.developpez.com
Le 21/04/2021 à 18:46
Q1) Qu’en pensez-vous ?
Une fuite de donnée démontre qu'il y a un problème de faille de sécurité (notamment en termes d'authentification et de permissions). Toutefois, il est évident que des grands groupes de type GAFAM se font attaquer plus fréquemment et doivent redoubler d'effort pour éviter un bad buzz.
"Normaliser" une fuite de donnée, c'est l'identifier, voir ses impacts, conduire une analyse de risque, en déduire les personnes impactées, avertir ces derniers (n'est-ce pas…), proposer un patch, le documenter pour ne plus que cette faille se reproduise, voir si ce patch peut-être appliquer ailleurs. J'ai certainement manqué des étapes, mais j'ose espérer que FB tient un système de ticketing sur ce genre d'incident.

Q2) Facebook souhaite la normalisation de ces ennuyeuses fuites de données. Quel est votre avis à ce sujet ?
C'est un peu déléguer son travail non ? J'ai d'autres arguments (négatif si FB le fait) dans la question suivante, mais de ce que je comprends FB souhaiterai mettre en place une plateforme dans laquelle les différentes failles de sécurités sont recensées et dont un patch est livré sur cette plateforme. Cela me fait penser au CERT cette histoire.
Je ne suis pas forcément contre l'idée, mais il faudrait néanmoins donner l'exemple avant de vouloir faire dans le communautaire (voir réponse question suivante).

Q3) Les fuites de données ne sont-elles pas déjà normalisées sur Facebook ?
Je n’en ai strictement aucune idée. Comme dis dans la première réponse, j'espère que FB a un système de ticketing pour cataloguer ses fuites (avec la solution pour les colmater) ou tout autre outils pouvant catégoriser leur incident critique.
Cependant, FB applique une nouvelle fois de mauvaises pratiques qui risquent de nuire à ce qu'il souhaite instaurer :
1) Facebook a déclaré par la suite qu'il ne notifierait pas plus d'un demi-milliard d'utilisateurs de l'incident
Pourquoi ? Qu'est-ce qui t'empêche de prévenir les autres ? Comme tu ne connais pas l'impact que ça a eu, il serait peut-être appréciable de prévenir le plus de monde possible, non ? J'en déduis que leur politique lié aux fuites de donnée ne montre pas du tout le bon exemple à appliquer. Tu as une faille, tu l'assumes, tu préviens ceux impactés et dans le doute tu préviens tout le monde.
2) il a écrit dans un post sur Medium en 2017 que l'équipe de sécurité de Facebook a rejeté ses conclusions, affirmant que « cela n'expose pas d'informations supplémentaires sur les utilisateurs qui n'étaient pas déjà publiques ».
J'en déduis que FB fait du Bug Bounty. Mais il n'y a qu'à voir la réponse, perso je la comprends comme ça : les données sont publiques, pourquoi je me ferais chier à les protéger ? Ce a quoi je lui répondrais : peut-être que ces données sont personnelles et peuvent nuire à l'identité de la personne si une faille était découverte. Que les posts, images, vidéos soient publiques pas de soucis, mais retrouver l'adresse mail, le téléphone... bon c'est limite un peu non ?

Q4) Facebook dit qu’il ne peut « pas toujours empêcher la réapparition de ce type d’informations ou la mise à disposition de nouvelles données ». Quel commentaire en faites-vous ?
J'ai l'impression de voir un caliméro qui se plaint de son boulot... Encore une fois ça semble assez évident : les hackers ont toujours une longueur d'avance pour détecter / exploiter des failles, bien sûr qu'on est à la ramasse. Toutefois si une faille est découverte, ça démontre que tu n'auras pas "assez fait d'effort" pour verrouiller l'accès aux données pour les personnes autorisées, ou alors tu as laissé le tuyau grand ouvert pour que tes partenaires puissent siffler ce dont ils ont besoin pour épier tes utilisateurs.
Ce travail n'est évidemment pas aussi facile que d'écrire un commentaire dans un forum (coucou moi !), mais si tu prenais un peu plus au sérieux les remarques d'expert qui te pousse une faille - ça réglerait une partie de tes problèmes futures.
4  0