Point de piratage derriĂšre la divulgation dâun ensemble de donnĂ©es de 530 millions dâutilisateurs de Facebook. Les informations nâont pas Ă©tĂ© dĂ©robĂ©es lors dâune intrusion dans les systĂšmes du rĂ©seau social, mais scrapĂ©es depuis des profils publics, via un utilitaire du gĂ©ant quâil a depuis fermĂ©.
Il y a quelques jours, les informations de plus de 530 millions dâutilisateurs de Facebook Ă©taient publiĂ©es sur un forum mal frĂ©quentĂ©. Une nouvelle fuite de donnĂ©es chez le rĂ©seau social ? Rien nâĂ©tait moins sĂ»r : le gĂ©ant a rapidement signalĂ© que ces donnĂ©es remontaient Ă 2019. Telle une traĂźnĂ©e de poudre, lâinformation se rĂ©pand sur le web et dans la presse. Mais dâoĂč viennent donc ces donnĂ©es, et posent-elles un risque pour les utilisateurs ?
Le jeu de donnĂ©es en question contient diverses informations, notamment le numĂ©ro de tĂ©lĂ©phone des utilisateurs liĂ© Ă leur compte Facebook. Et quand bien mĂȘme la fuite remonte Ă deux ans, ces donnĂ©es pourraient ĂȘtre exploitĂ©es lors de campagnes de phishing ou encore pour compromettre un peu plus les identifiants des utilisateurs concernĂ©s.
Les fuites, un problÚme récurrent chez Facebook
Quant Ă la fuite, les tergiversations vont bon train. Car ces derniĂšres annĂ©es Facebook a rĂ©guliĂšrement Ă©tĂ© au centre de lâattention sur des sujets de protection des donnĂ©es personnelles, et de leurs multiples fuites. En 2018, des centaines de millions de noms et de numĂ©ros de tĂ©lĂ©phones dâutilisateurs du rĂ©seau social sâĂ©vanouissaient dans la nature Ă lâoccasion dâun changement de politique du gĂ©ant. La mĂȘme annĂ©e, la compromission de tokens dâauthentification concernait 30 millions dâutilisateurs et toutes leurs informations. En 2019, ils Ă©taient 540 millions Ă voir leurs identifiants, Likes et commentaires exposĂ©s en ligne. Les donnĂ©es divulguĂ©es en ce mois dâavril proviennent-elles de ces fuites ? Ou peut-ĂȘtre dâun nouveau scandale dans la lignĂ©e de Cambridge Analytica ?
Ni une, ni deux, la Data Protection Commission irlandaise se saisit du dossier, puisquâune portion significative des utilisateurs concernĂ©s sont EuropĂ©ens. Dans un communiquĂ©, elle rapporte que des âensembles de donnĂ©es antĂ©rieursâ avaient dĂ©jĂ Ă©tĂ© diffusĂ©s en 2019 et 2018, suite Ă un âscrapingâ de grande ampleur entre juin 2017 et avril 2018. Soit une pĂ©riode antĂ©rieure au RGPD : Facebook avait choisi de ne pas en informer la DPC jusquâĂ maintenant. âLes donnĂ©es en cause semblent avoir Ă©tĂ© collectĂ©es par des tiers et proviennent potentiellement de sources multiplesâ indique dĂ©sormais Facebook Ă la DPC, promettant dâenquĂȘter.
Scraping
Et les premiers Ă©lĂ©ments ont Ă©tĂ© fournis par lâentreprise de Mark Zuckerberg hier dans un post. A commencer par lâinvalidation de toutes les rumeurs prĂ©cĂ©dentes : ces donnĂ©es nâont pas Ă©tĂ© dĂ©robĂ©es par la compromission des systĂšmes de Facebook, ancienne ou rĂ©cente.
âIl est important de comprendre que les acteurs malveillants ont obtenu ces donnĂ©es non pas en piratant nos systĂšmes mais en les rĂ©cupĂ©rant de notre plateforme avant septembre 2019â signale le rĂ©seau social. Les donnĂ©es en question ont Ă©tĂ© extraites par des acteurs malveillants Ă lâaide dâun programme dâautomatisation du scraping et de lâutilitaire dâimportation de contacts de Facebook.
Une fonctionnalitĂ© âconçue pour aider les gens Ă trouver facilement leurs amis avec lesquels se connecter sur nos services Ă l'aide de leurs listes de contactsâ mais employĂ©e Ă des fins malveillantes, de sorte que ces âpiratesâ aient Ă©tĂ© en mesure âdâinterroger un ensemble de profils d'utilisateurs et obtenir un ensemble limitĂ© d'informations sur les utilisateurs inclus dans leurs profils publics.â.