Le géant Meta, qui brasse des dizaines de milliards de dollars de bénéfices, a écopé mardi d’une amende de 251 millions d’euros dans l’UE pour une faille de sécurité sur Facebook, plus de six ans après les faits.
Ce défaut de sécurité avait permis à des pirates informatiques d’accéder à des données personnelles pouvant inclure le nom complet, l’adresse email, le numéro de téléphone ou encore la date de naissance ou la religion, selon la Commission irlandaise pour la protection des données (DPC).
Le régulateur inflige cette amende au nom de l’UE, le siège européen de Meta, maison-mère de Facebook, se trouvant à Dublin.
L’affaire, révélée par Facebook en septembre 2018, avait entraîné un immense scandale dans le monde entier: “cette violation de données a eu un impact sur environ 29 millions de comptes Facebook dans le monde, dont environ 3 millions étaient basés dans l’UE”, rappelle la DPC dans un communiqué. “Nous avons pris des mesures immédiates pour résoudre le problème dès qu’il a été identifié, et nous avons informé de manière proactive les personnes impactées ainsi que la Commission irlandaise de protection des données”, a réagi dans un communiqué un porte-parole de Meta, qui compte faire appel.
Plusieurs bugs
Les pirates avaient profité de la conjonction de plusieurs bugs nichés dans la fonctionnalité “Voir en tant que” – qui permet de visualiser ce à quoi ressemble son propre profil quand il est vu par un autre utilisateur – pour accéder aux données.
L’utilisation de cette fonction pouvait générer par erreur des clés numériques de connexion, appelées en anglais “access tokens”, permettant de rester connecté sans avoir à rentrer son mot de passe à chaque fois. La DPC avait commencé à enquêter fin 2018. Il s’agissait alors d’une des premières applications contre un poids lourd d’internet du Règlement européen sur la protection des données (RGPD), entré en vigueur quelques mois plus tôt dans l’UE.
Meta est depuis régulièrement mis en cause dans l’UE, mais ses condamnations, qui tombent souvent plusieurs années après les faits, semblent peu dissuasives pour le géant de Menlo Park, qui vient d’annoncer 40,59 milliards de dollars (38,7 milliards d’euros) de chiffre d’affaires au troisième trimestre, dont 15,69 milliards de bénéfices, supérieur aux attentes du marché.
