Facebook’s leak

 
Facebook's leak

Et encore un scandale chez Facebook ! 2019, 2021, Facebook fait encore parler de lui pour sa super gestion des données personnelles (j’espère que vous avez compris l’ironie).
 

Les faits

En décembre 2019, déjà près 267 millions de données personnelles avaient fuité.
 
Cette fois, ce ne sont pas moins de 533 millions de comptes compromis. La France est un des pays qui compte le plus d’utilisateurs piratés, avec près de 20 millions de personnes concernées.
 
On retrouve cette base sur des forums spécialisés. Elle contient des noms, des adresses emails, des numéros de téléphone, des situations matrimoniales
 
Tous les ingrédients pour faire de la bonne ingénierie sociale.
 
 

Comment est-ce possible ?

Ca c’est une bonne question ! Il s’agirait d’une faille de sécurité datant de 2019 qui aurait été comblée en aout 2019. Il y avait une faille de sécurité dans la fonction d’import des contacts dans Facebook. Les hackers se sont servis de cette faille pour se servir et faire leur marché.
 
Les 267 millions et les 533 millions de comptes compromis auraient la même origine. Cette base daterait donc de 2019, et n’aurait pas été piratée en 2021.
 
 

Les conséquences

Que faire de vos noms, prénoms, adresses emails, numéros de téléphone, situation matrimoniale… ?
 
Cela va dépendre du hacker et de ses envies.
 
Une adresse email va servir pour une campagne de phishing. Alors, les moins malins vont envoyer des emails en masse, espérant que quelques uns se feront avoir.
 
Les numéros de téléphones vont également servir à faire des campagnes de SMiShing (SMS Phishing) : recevoir des sms pour vous dire que votre colis n’est pas suffisamment affranchi par exemple, et vous inviter à payer le solde nécessaire à la livraison.
 
Vous pourrez également recevoir des appels téléphoniques pour isoler votre maison ou réduire vos impôts.
 
En revanche, le plus embêtant est l’utilisation combinée de toute ces données pour faire de l’ingénierie sociale et mener des attaques ciblées.
 
On sait tout de vous, on vous montre qu’on vous connait, donc vous baisser la garde.
 
On pourrait même évoquer l’usurpation d’identité, cette hypothèse n’est pas à prendre à la légère !
 
 

Comment savoir si l’on fait partie des comptes compromis ?

Le plus simple est de se rendre sur le site have i been pwned ?
 
Saisissez votre adresse email et vous saurez si cette dernière a fuité sur le dark web.
 
Saisissez votre numéro de téléphone au format international (+336/+337…) et vous saurez si vous faites partie des comptes Facebook compromis.
 
 

La position de Facebook

Face à cette nouvelle révélation de comptes disponibles sur le dark web, que dit Facebook ?
 
De mon point de vue, Facebook noie un peu le poisson. “Rien de nouveau, ca date de 2019, et de la faille sur l’import des contacts que l’on a comblé dès qu’on a su”.
 
A titre personnel, j’émets tout de même un doute.
 
Continuons sur ce que dit Facebook. Cette fuite ne serait pas due à une cyberattaque, mais à du scrapping, c’est à dire aspirer les données librement accessible.
 
Rappelons que les données accessibles sont celles que vous voulez bien laisser en libre accès. Or certaines données sont en mode privé, que l’utilisateur connecté est le seul à pouvoir consulter.
 
Facebook déclare qu’elle ne préviendra pas les personnes concernées de cette fuite, car elle considère que ce n’est pas une fuite, qui de plus, date de 2019. Facebook avance également que les données qui ont fuité, ont été collectées avant l’application du RGPD. Donc le RGPD ne s’applique pas !
 
Pour rappel, l’article 33 oblige le responsable de traitement à notifier l’autorité de contrôle toute violation de données dans les 72h (effectivement, on a un légèrement dépassé le délai depuis 2019).
 
L’article 34 oblige le responsable de traitement à prévenir les personnes concernées de toute violation de leur données dans les meilleurs délais, s’il existe un risque élevé pour les personnes concernées.
 
Le RT peut évidemment rencontrer des difficultés à savoir qui sont les personnes concernées, et à les contacter. Encore faut-il qu’il puisse le prouver.
 
Et dernier rappel, et non des moindres, le RGPD s’applique du moment que l’on traite des données à caractère personnel, peu importe quand elles ont été collectées.
 
 

La suite

Etant donné sa position, Facebook a provoqué l’ire des différentes autorités de contrôle en Europe et même des institutions Européennes.
L’autorité de contrôle Irlandaise dont dépend Facebook Ireland (la Data Protection Commission) s’est enfin décidé à ouvrir une enquête sous la pression l’Europe.
 
La CNIL en France pourra également être saisie ou même s’autosaisir pour mener une enquête, et remonter ses conclusions à la DCP, dans le cadre de la coopération entre autorités de contrôle européennes.
 
Si vous avez été victime de cette fuite de données, vous avez la possibilité de déposer plainte auprès de la CNIL.
 
Nous suivrons tous évidemment cette affaire que j’appelle Facebook’s Leak et les conclusions des autorités européennes.
 
 

Article rédigé par Frédéric – 28/04/2021