Actu

Fuite de données sur Facebook : êtes-vous concernés et quels sont les risques ?

06 avril 2021
Par Thomas Estimbre

Depuis ce week-end, les données de plus de 500 millions d’utilisateurs de Facebook sont accessibles sur le web. Près de 20 millions de Français sont concernés et sont potentiellement exposés à des utilisations malveillantes. Explications.

Facebook n’est pas vraiment un exemple en matière de protection des données personnelles. Le réseau social de Mark Zuckerberg enchaîne les polémiques depuis plusieurs années et une « nouvelle » affaire risque encore un peu plus d’écorner son image. Alon Gal, cofondateur et directeur technique de la société de renseignement sur la cybercriminalité Hudson Rock, a indiqué ce week-end sur Twitter que les données de 533 millions d’utilisateurs de Facebook étaient désormais librement accessibles. Le réseau social, qui recensait 2,8 milliards d’utilisateurs actifs chaque mois fin 2020, compte près d’un utilisateur sur cinq concerné par cette fuite massive de données personnelles.

 © Creative Commons
© Creative Commons

Pour comprendre d’où proviennent ces données, il faut remonter au début de l’année 2021. Le chercheur en sécurité Alon Gal avait alors alerté sur l’existence de cette base de données. Près de 533 millions de numéros de téléphone associés à des comptes Facebook s’étaient retrouvés en vente sur l’application de messagerie Telegram. Nous avions consacré un sujet à cette affaire qui concerne les utilisatrices et utilisateurs de 106 pays, dont la France. Dans l’Hexagone, près de 20 millions de personnes inscrites sur le réseau social de Mark Zuckerberg (19,84 millions) étaient répertoriées dans cette gigantesque base de données. Pour Facebook, ces données proviennent d’une fuite qui a eu lieu en 2019. Celle-ci aurait été corrigée en août 2019 et les « nouveaux » utilisateurs ne sont donc pas concernés.

Un porte-parole de la firme a une nouvelle fois confirmé au site Business Insider que la faille avait été « patchée ». Ainsi, elle ne peut plus être exploitée par des pirates. Toutefois, les données déjà extraites avaient rapidement circulé sur la toile et les numéros de téléphone de 419 millions d’utilisateurs Facebook avaient été découverts dans une base de données accessible sur le web, en septembre 2019.

https://twitter.com/UnderTheBreach/status/1378314424239460352

L’affaire a pris un nouveau tournant ce week-end suite à la publication sur un forum spécialisé de cette base de données. Jusqu’alors proposées à la vente sur le « marché noir » ou via un bot payant sur Telegram, ces données sont désormais accessibles gratuitement sur la toile. Nous sommes également en mesure de vous confirmer l’existence de cette base de données, validées par plusieurs médias américains comme Bleeping Computer ou Business Insider, ainsi que la véracité des données qu’elle contient. Outre le numéro de téléphone, on retrouve plusieurs types d’informations, dont le nom, le prénom, le genre, le métier ou encore la situation amoureuse (célibataire, en couple…). Dans des cas plus rares, l’adresse mail peut également apparaître.

Suis-je concerné ?

Il est possible de vérifier si vous êtes concerné depuis le site haveibeenpwned.com. Nous vous conseillons d’utiliser cet outil de référence plutôt qu’un bot ou site à l’origine douteuse pour vérifier si votre profil est concerné. Si ces derniers peuvent également le proposer gratuitement, ils peuvent être utilisés par des acteurs malintentionnés pour se constituer une base de données en récupérant vos données personnelles.

 © Capture d’écran
© Capture d’écran

Concernant HaveIBeenPwned, il était jusqu’à alors capable de vérifier si votre adresse e-mail faisait partie d’une fuite d’informations. Depuis quelques heures, il propose d’effectuer une recherche à partir de votre numéro de téléphone. Pour vérifier si le numéro de téléphone associé à un compte Facebook a fuité, il est nécessaire de le taper au format international (+33 à la place du zéro). Là encore, nous sommes en mesure de confirmer que l’outil fonctionne et prend en compte cette base de données. Notez qu’il y a environ une chance de sur deux que vous soyez concerné, Facebook revendiquant 40 millions d’utilisateurs en France.

Quels sont les risques ?

En l’état, les risques sont limités puisque ces données ne sont pas nouvelles et ont probablement déjà été exploitées par des personnes mal intentionnées. Néanmoins, le fait de les rendre quasi publiques n’est pas anodin et interpelle une nouvelle fois sur la gestion de nos données personnelles. Les informations peuvent être utilisées pour des campagnes de phishing et de smishing (hameçonnage par SMS), en particulier si les pirates disposent de votre nom, prénom, adresse mail et numéro de téléphone. Il est donc nécessaire de redoubler de vigilance face aux messages que vous recevez, notamment lorsqu’il s’agit de messages suspects de votre banque ou de liens vous invitant à entrer des informations personnelles.

À lire : Sécurité et vie privée sur Internet : les bonnes pratiques à adopter en ligne

Ces données peuvent également être utilisées pour du harcèlement (téléphonique) ou obtenir des informations sur certains utilisateurs. Par ailleurs, il s’agit dans cette affaire de données qui ont de fortes chances d’être toujours valables. S’il est possible qu’un utilisateur ait changé de ville depuis 2019, il est moins probable qu’il ait changé d’adresse e-mail et encore moins son nom ou prénom, à moins d’avoir utilisé un pseudo.

Comment protéger mon compte ?

Cette fuite ne requiert pas forcément de revoir sa sécurité, puisque la faille provient directement de Facebook. Néanmoins, elle est l’occasion de vérifier vos paramètres et de renforcer la sécurité de votre compte en activant certaines protections. Cette vérification peut aussi vous permettre de renouveler votre mot de passe – même si ces derniers n’ont pas fuité – et les informations que vous avez confiées à Facebook. Enfin, cette énième affaire de sécurité des données peut vous pousser à supprimer votre compte. Là encore, il convient d’être vigilant et de prendre des précautions avant de réaliser une telle opération.

À lire : Données personnelles : pourquoi et comment supprimer vos anciens comptes en ligne

Article rédigé par
Thomas Estimbre
Thomas Estimbre
Journaliste