La gigantesque fuite de données chez Facebook a été provoquée par… Facebook même
Bien que Facebook classe déjà l’énorme fuite de données comme de l’histoire ancienne, elle est bien due à une piètre politique de sécurité et de confidentialité de l’entreprise elle-même. Elle a en fait ignoré les avertissements d’un hacker belge et a rendu les numéros de téléphone identifiables.
Ce week-end, on a appris que les données d’un demi-milliard d’utilisateurs de Facebook, dont 3.183.584 Belges, avaient été partagées sur un forum de hackers. Les données mêmes circulaient depuis assez longtemps déjà, mais étaient généralement échangées contre paiement. Le problème n’est donc pas nouveau, mais le fait qu’à présent littéralement tout un chacun peut accéder aux numéros de GSM et aux dates de naissance de millions de personnes. Une véritable mine d’or pour les escrocs de tous poils.
Chez Facebook, c’est le silence radio qui prédomine. On tente même de qualifier la fuite d’histoire ancienne: ‘Il s’agit en l’occurrence de vieilles données dont il avait été fait rapport en 2019 déjà. Nous avons découvert et résolu ledit problème en août 2019.’ Voilà la seule réaction que les journalistes ont obtenue de l’entreprise. Toute question complémentaire est restée sans réponse. Cette réaction est cependant trompeuse.
Un problème connu depuis 2017 déjà
C’est ainsi que Facebook ment quand elle déclare qu’elle a découvert et solutionné le problème en août 2019. Le hacker éthique belge Inti De Ceukelaire avait averti en janvier 2017 déjà qu’il était possible de dénicher le numéro de téléphone de quelqu’un. Il avait à l’époque réussi à mettre la main sur le numéro de Jan Jambon (l’ex-ministre de l’intérieur) via Facebook.
Il y était arrivé via la fonction de recherche d’amis sur Facebook. Si le numéro figure sur votre profil, uniquement visible par vos amis, il peut être découvert également par quelqu’un qui décline votre numéro de téléphone. Cela peut paraître utile, mais c’est aussi la porte ouverte aux abus: si vous soumettez des numéros de téléphone à Facebook, le site vous révèle à quels noms/profils ils appartiennent.
‘Il y a une limite à la fréquence d’utilisation par jour et par compte, mais si vous possédez plusieurs comptes, vous pouvez parfaitement la contourner’, affirme De Ceukelaire à Data News. ‘Il était aussi possible d’importer jusqu’à 10.000 contacts. Il s’agissait donc d’une limite ridiculement élevée.’ Facebook n’est du reste pas la seule firme à ce faire. Skype permet également d’identifier des gens de manière comparable.
‘Peut-être à l’avenir’
Facebook avait à l’époque ignoré les avertissements de De Ceukelaire, mais elle les avait pourtant bien reçus. Elle avait alors réagi en lui affirmant que le problème n’était pas vraiment sérieux et que la fonction serait peut-être limitée à l’avenir.
Le nom, la date de naissance et le numéro de téléphone de quelqu’un ne sont en général pas des données qui changent chaque année. La fuite peut être ancienne, mais les données sont dans la plupart des cas encore et toujours actuelles.
Parler ‘d’anciennes données’, c’est du reste un peu court de la part de Facebook. Le nom, la date de naissance et le numéro de téléphone de quelqu’un ne sont en général pas des données qui changent chaque année. La fuite peut être ancienne, mais les données sont dans la plupart des cas encore et toujours actuelles.
Pas rapporté par l’entreprise
L’affirmation selon laquelle le problème avait été rapporté en 2019, est elle aussi différemment interprétable. Lorsque nous demandons à Facebook si elle l’avait elle-même publiquement mentionné, nous n’obtenons pas de réponse. L’entreprise fait allusion à des articles parus dans les médias à propos d’un serveur non sécurisé (pas un serveur de Facebook) où circulent les données. A ce moment, Facebook n’a cependant pas réagi.
Voilà qui contraste avec la machine PR que Facebook elle-même garde opérationnelle. L’entreprise aime communiquer, lorsqu’elle entreprend des actions contre les faux comptes, la désinformation en matière électorale ou du corona, ou d’autres nouvelles factices. Le fait que les données de quasiment un quart de ses utilisateurs aient fuité, ne figure pas dans ses archives de communiqués de presse et ce, ni en 2019 ni aujourd’hui.
Mentionné en catimini
Ce qu’on retrouve, c’est un communiqué du 4 avril 2018, dans lequel Facebook annonce un tas de mesures en vue de limiter l’accès aux données. Y figure entre autres l’option de retrouver des amis par le biais de numéros de téléphone. Comme exemple utile, l’entreprise cite des pays comme le Bangladesh, où il est malaisé de saisir un nom dans la langue locale sur Facebook, ce qui fait qu’entrer un numéro de téléphone s’avère plus facile.
Du point de vue technique, le problème a donc été mentionné, mais en catimini et sans signaler que les données de profils de 533 millions de personnes étaient entre-temps collectées.
‘Mais des acteurs mal intentionnés ont également abusé de cette fonction pour collecter des informations de profils publics’, peut-on lire en bref dans cette annonce. Etant donnée l’échelle à laquelle cela s’est passé, Facebook a décidé de désactiver cette fonction. Du point de vue technique, le problème a donc été mentionné, mais en catimini et sans signaler que les données de profils de 533 millions de personnes étaient entre-temps collectées. Cette approche a en outre eu lieu plus d’un an après que De Ceukelaire ait attiré l’attention sur le problème.
Le hacker nuance le fait qu’une entreprise ne doit pas se sentir honteuse, lorsqu’elle est aux prises avec une fuite de données, mais que dans le cas d’espèce, Facebook a au niveau du choix entre la sécurité et les possibilités de croissance opté pour ces dernières. ‘On observe chez Facebook qu’il y a certes une très bonne équipe de sécurité, mais lorsqu’il est question de la zone entre la sécurité, la confidentialité et l’abus, on observe que les décisions sont prises essentiellement dans l’intérêt professionnel’, précise De Ceukelaire.
Utilisateurs et autorités non informés
L’autorité en charge de la protection des données d’Irlande, là où se trouve le siège européen de Facebook, a réagi entre-temps et affirme qu’il s’agit d’un ensemble de données qui avait été probablement collecté entre juin 2017 et avril 2018. ‘Comme ce prélèvement a été effectué avant l’introduction du GDPR, Facebook a choisi de ne pas le mentionner en tant que fuite de données personnelles une fois le GDPR entré en vigueur’, ajoute l’autorité irlandaise, qui fait aussi observer n’avoir le week-end dernier reçu elle-même aucune réponse de Facebook à propos de la fuite.
Data News a également demandé à Facebook si ses utilisateurs ou les autorités locales en charge des données et du respect de la vie privée en ont été informées, mais l’entreprise n’a ici non plus fourni aucune réponse. Actuellement, Facebook s’est contentée du commentaire laconique susmentionné. Si elle devait apporter de plus amples détails, nous ne manquerions pas de compléter cet article.
Facebook rend elle-même des numéros publics
Ce qui atténue quelque peu cette affaire pour Facebook, c’est que les utilisateurs ont en principe eux-mêmes choisi de placer sur leur profil leur numéro de téléphone, uniquement visible par leurs amis. Mais cela n’est pas vrai non plus.
Dans le passé, Facebook a permis de rechercher des numéros de téléphone non-publics. En 2019, des utilisateurs ont découvert que le numéro de téléphone qu’ils avaient saisi uniquement à des fins de contrôle à deux facteurs (2FA) en vue d’ajouter une protection supplémentaire à leur compte, pouvait être recherché par des tiers aussi. Il n’y avait pas non plus l’option de supprimer ce numéro.
Il existe même des preuves que des numéros de téléphone que des amis vous confient (en donnant accès à Facebook à leur fichier d’adresses), sont transmis à des fins publicitaires. Mais cela n’a rien à voir avec la présente fuite de données.
Partiellement coupable, entièrement responsable
La matière est complexe. Facebook n’a d’une part pas grand-chose à faire que ces millions de données aient à présent été rendues publiques. Il est vrai aussi que ces données circulaient depuis assez longtemps déjà et qu’elles avaient été collectées il y a des années sans l’autorisation de Facebook.
Il y a des infractions au respect de la vie privée, auxquelles Facebook collabore activement, et il y en a d’autres auxquelles l’entreprise collabore passivement. La présente fuite de données fait partie de cette dernière catégorie.
Ce dernier point constitue une nuance importante dans la mesure où Facebook a dans le passé échangé assez souvent des données d’utilisateurs avec des entreprises telles Netflix et Spotify. Il y a des infractions au respect de la vie privée, auxquelles Facebook collabore activement, et il y en a d’autres auxquelles l’entreprise collabore passivement. La présente fuite de données fait partie de cette dernière catégorie.
Mais collaboration passive il y a quand même eu. Les données rendues à présent publiques purent être collectées sans trop de difficultés en 2017 et en 2018, parce que Facebook considérait certaines fonctions plus importantes que leur impact sur la sécurité et la confidentialité.
Lorsque des tiers, tels De Ceukelaire, en avertirent l’entreprise, il fallut attendre plus d’un an pour que celle-ci entre en action, ce qui fait que pendant tout ce temps, vos données et les miennes furent collectées sans le moindre problème. Au su de Facebook.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici