Non, ce n’est pas un poisson d’avril qui s’extirpe d’un chapeau de magicien tardivement, la fuite est réelle. Les données de plus d’un demi-milliard d’utilisateurs du réseau social Facebook voient leurs données diffusées. Exfiltrées en 2019 par le biais d’une fonctionnalité non sécurisée, résolue depuis, elle circule depuis dans les méandres de l’Internet, pour apparaître samedi aux yeux de tous. 533 millions de profils du réseau social de Mark Zuckerberg ainsi exposés à la vue de tous.

Lorsqu’un réseau social, a plus de deux milliards d’utilisateurs, est attaqué, des quantités énormes de données fuitent. Les cyberattaques ne donnent pas toutes des publications. Certaines passent sous le radar, pour n’apparaître que bien plus tard.

Fuite massive de données

Les cloches ont sonné en plein week-end pascal, c’est samedi 3 avril 2021, qu’Alon Gal tire la sonnette d’alarme, sur twitter. Les données de plus de 500 millions de personnes s’affichent sur un site, elles sont classées par pays en ordre alphabétique. De l’Afghanistan, l’Allemagne, du Bahrain, le Bostwana, la Bulgarie, le Burundi, le Canada, Chypre, la Croatie, l’Égypte, les Émirats arabes unis, l’Espagne, les États-Unis, l’Éthiopie, la France, la Grèce, L’Islande, l’Inde, l’Irak, la Libye, le Luxembourg, le Mexique, la Namibie, la Norvège, les Pays-Bas, le Portugal, le Royaume-Uni, la Syrie… Ils sont cent six pays sur la liste.

Les données ayant fait l’objet d’une fuite ne sont pas valables que pour les années 2018 et 2019. Elles ne sont apparues qu’en 2021. Comment est-ce possible ?

En réalité, des cybercriminels exploitent la vulnérabilité en 2019, et Facebook l’a corrige immédiatement. Mais, la firme a oublié d’informer ses utilisateurs, de l’incident. En conséquence, Meta a été confrontée à des critiques sévères, ainsi qu’à une lourde amende de 265 millions d’euros (environ 276 millions de dollars américains).

Le tableau recense, selon son concepteur, les pays dont les utilisateurs ont été le plus touchés. (Crédits : Twitter/zlatanvano)

Ces données comportent en premier le numéro de téléphone, puis l’identifiant Facebook, votre civilité, la ville de résidence, l’ancien lieu de villégiature, la date de naissance, votre statut de relation (en couple, célibataire, compliqué, etc.), la date de création du compte, la biographie, et rarement l’adresse mail. Sur les 40 millions d’utilisateurs en France (en mars 2021), la moitié est concernée.

Qui est concerné ?

Maintenant, une question se pose : « Comment puis-je savoir si mes données ont fuité ? » Premièrement, ne pas surfer n’importe où. Le site Have I Been Pwned affiche depuis plusieurs années une sécurité des informations, et dans cette optique, son fondateur Troy Hunt, a décidé de débloquer la recherche par numéro de téléphone. Pour effectuer cette recherche, il faut se rendre sur le site « Have I Been Pwned » puis indiquer ledit numéro avec l’indicatif, +33 pour la France, en omettant le premier chiffre, le « 0 ».

Le site vous indique si le numéro recherché fait partie des 533 millions de données. Prenez garde aux différents messages que vous pourriez recevoir, des cybercriminels s’en servent via du phishing, ou hameçonnage pour collecter d’autres données encore plus sensibles. Ainsi des sites sont apparus, permettant, selon eux, de vérifier que votre numéro de téléphone apparaissait parmi la liste. Les données que vous indiquez sur le site « Have I Been Pwned » subissent un hachage, garantissant votre sécurité.

Rappelez-vous de cette maxime, littéralement, d’un certain Vladimir Lénine : « La confiance n’exclut pas le contrôle ».

(Crédits : Capture d’écran)

Quiconque entre en possession de données provenant de la violation, pour une éventuelle utilisation, même à des fins positives, est interdit par la législation sur la vie privée, ces informations étant le résultat d’un traitement illicite, et pénalement répréhensible. Le site « https://haveibeenfacebooked.com » permettant, selon les indications, de vérifier si votre numéro de téléphone est l’un des 533 millions, est suspendu pour une durée indéterminée. La fuite comprend également les numéros de téléphone du PDG de Facebook, Mark Zuckerberg, et des cofondateurs Chris Hughes et Dustin Moskovitz.

De plus, il apparaît que le même numéro de téléphone est également enregistré à son nom sur l’application de messagerie Signal, axée sur la protection de la vie privée, relate « The Hacker News ». « Mark Zuckerberg respecte également sa propre vie privée en utilisant une application de chat qui dispose d’un cryptage de bout en bout et qui n’est pas détenue par Facebook », a tweeté Dave Walker, chercheur à SynackRedTeam.

L’arroseur arrosé, car les données du fondateur de Facebook se trouvent parmi celles exfiltrées (Crédits : Dave Walker)

La fuite questionne sur la sécurité, la directrice des communications de réponse stratégique, se veut rassurante dans un tweet : « Il s’agit d’anciennes données qui ont déjà été signalées en 2019. Nous avons trouvé et corrigé ce problème en août 2019 », déclare-t-elle. Alors que les dirigeants sont avares en communication avec la presse et les journalistes, Dave Walker ironise : « si les journalistes ont du mal à obtenir une déclaration de Facebook, peut-être peuvent-ils lui donner un coup de fil ? »