Les données personnelles concernant plus de 500 millions d’utilisateurs Facebook, issues d’une faille de sécurité remontant à 2019, ont été mises en ligne ce week-end sur un forum de hackers.

La France est l’un des pays comptant le plus de victimes, avec 20 millions d’utilisateurs touchés sur 40 millions d’abonnés Facebook dans l’Hexagone, soit un utilisateur sur deux.

« Il ne serait pas étonnant que des pirates exploitent les données obtenues pour mener des campagnes de phishing ciblées [...]. Il est aussi probable que les cybercriminels utilisent ces informations pour se faire passer pour la personne piratée », explique Dimitry Galov, expert en sécurité chez Kaspersky.

Noms, e-mails, numéros de téléphone, date de naissance… Issues d’une faille de sécurité remontant à 2019, les données personnelles de plus de 500 millions d’utilisateurs et utilisatrices de Facebook ont été mises en ligne ce week-end sur un forum de hackers. Cette gigantesque base de données, qui contient de nombreuses informations personnelles d’utilisateurs, est ainsi en libre accès sur Internet. « Ce fichier était déjà commercialisé sur le Darknet depuis plusieurs mois, mais il est devenu accessible d’un coup à un plus grand nombre de personnes malveillantes », explique sur Twitter Alon Gal, cofondateur de l’entreprise Hudson Rock, spécialiste de la cybercriminalité, qui a donné l’alerte samedi.

Au total, 533 millions d’utilisateurs et utilisatrices de Facebook – sur 2,7 milliards – sont concernés, partout dans le monde. La France est l’un des pays comptant le plus de victimes, avec 20 millions de personnes touchées sur 40 millions ayant un compte Facebook dans l’Hexagone. Comment savoir si vous faites partie des utilisateurs et utilisatrices concernées ? Que risquent les victimes de cette fuite de données ? Que faire pour se protéger ? Quelles responsabilités pour le réseau social ? 20 Minutes fait le point sur cette faille sans précédent qui touche Facebook, ainsi que sa filiale Instagram.

D’où vient cette fuite de données ?

Pour comprendre d’où vient cette fuite, il faut remonter à septembre 2019. A l’époque, un spécialiste en cybersécurité avait découvert une importante faille dans la sécurisation de Facebook, plus précisément dans la fonction permettant d’importer ses contacts sur la plateforme. Des pirates en avaient alors profité pour collecter, en masse, les données de millions de personnes. Un hacker – qui a ainsi réussi à récolter quelque 530 millions de numéros de téléphone –, a mis en vente en janvier dernier ces données sur l’application de messagerie Telegram. L’affaire a ensuite pris une nouvelle ampleur, ce samedi 3 avril, avec l’apparition de l’intégralité de cette base de données, gratuite et en libre accès, sur des forums spécialisés.

Pour Facebook, cette fuite de données est le fait d'« acteurs malveillants ». Ces données sont issues d’une fuite qui remonte à 2019 et qui « a été résolue depuis », a indiqué ce mercredi un responsable de Facebook dans un communiqué. Pour le réseau social, ces données n’ont pas été obtenues via un piratage de ses systèmes, il ne s’agit donc pas de hacking, mais de scraping, une méthode qui consiste à piller des profils Facebook via un logiciel imitant la fonctionnalité du réseau qui aide les membres à trouver facilement des amis, récupérant ainsi les listes de contacts. « Les données ne comportaient ni informations financières, ni de santé, ni mots de passe », a par ailleurs assuré la plateforme, qui se dit « convaincue que le problème spécifique qui a permis de récupérer ces données en 2019 n’existe plus ».

Quels risques pour les victimes ?

Les données dérobées, notamment les e-mails et les numéros de téléphone, exposent les victimes à des spams à visée marketing. Mais le principal risque est de voir son numéro de téléphone ou son adresse e-mail utilisée à des fins malveillantes. « Il ne serait pas étonnant que des pirates exploitent les données obtenues pour mener des campagnes de phishing ciblées, où des e-mails malveillants semblant provenir d’un expéditeur de confiance, par exemple de l’adresse e-mail de votre ami Facebook, seraient envoyés. Il est aussi probable que les cybercriminels utilisent ces informations pour se faire passer pour la personne piratée, qui pourrait ainsi être victime d’usurpation d'identité », explique Dimitry Galov, expert en sécurité chez Kaspersky.

Comment savoir si vous êtes victime ?

Facebook n’ayant pour l’instant pris aucune initiative pour prévenir les victimes – malgré son obligation de le faire en vertu de la loi sur la protection des données personnelles (RGPD) –, les utilisateurs doivent se tourner vers des sites spécialisés. Parmi eux, la plateforme Have I Been Pwned?, qui permet aux internautes de savoir si leur adresse e-mail fait partie d’une base de données piratée. Le fondateur de cette plateforme, Troy Hunt, vient de la mettre à jour afin de permettre aux utilisateurs de Facebook de vérifier si leur numéro de téléphone était concerné par le piratage.

You can now search @haveibeenpwned for phone numbers in the Facebook data. Here's why, and how it works: https://t.co/xUnMTE26Ms — Troy Hunt (@troyhunt) April 6, 2021

Dans le champ de recherche affiché sur la page d’accueil de haveibeenpwned.com, saisissez votre numéro de téléphone au format international. Pour un numéro français, vous devez saisir +33 suivi de votre numéro de mobile sans le zéro (+ 336… ou + 337…), et cliquez ensuite sur le bouton « pwned ? ». Si votre numéro a été trouvé dans cette fuite de données, la plateforme affiche une alerte sur fond rouge. Le site rappelle ainsi le type d’informations concernées : numéros de téléphone mais aussi date de naissance, adresse e-mail, employeur ou encore statut marital, selon les informations renseignées sur le compte Facebook.

Si votre numéro a été trouvé dans cette fuite de données, la plate-forme affiche une alerte sur fond rouge indiquant le type d’informations pouvant s’y trouver. - Capture d'écran Have I Been Pwned ?

Comment mieux se protéger ?

Etant donné l’ampleur de la fuite, si vous avez créé votre compte Facebook avant 2018, le réseau social recommande vivement d’activer l’authentification à deux étapes. « Nous conseillons aux utilisateurs d’effectuer régulièrement des vérifications de confidentialité […] notamment qui peut voir certaines informations sur leur profil, et d’activer une authentification à deux étapes », explique Facebook.

« Afin de rester à l’abri des pirates qui pourraient exploiter ces données, il convient également de prendre des précautions lors de la réception d’e-mails qui peuvent sembler étranges, même s’ils semblent provenir d’une personne de confiance », explique Dimitri Galov. « Nous recommandons de ne jamais cliquer sur les liens ou les pièces jointes contenus dans les courriels et de toujours vérifier la présence de fautes de grammaire ou d’orthographe (souvent signe que le mail est une tentative de phishing) », ajoute l’expert en sécurité chez Kaspersky, qui rappelle tout de même que « pour protéger les informations personnelles en ligne, la meilleure chose à faire reste de limiter le type d’informations qui est partagé sur les plateformes de médias sociaux ».

Quelles responsabilités pour Facebook ?

« Au regard de la fuite massive des données, Facebook n’a pas nécessairement pris toutes les mesures appropriées et efficaces en vue de garantir la protection des données personnelles de ses utilisateurs », estime Alexandre Lazarègue, avocat spécialisé en droit du numérique et dans le domaine de la cybercriminalité. L’article 34 de la loi « informatique et libertés » prévoit une obligation, pour tout responsable de traitement, de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données », explique l’avocat, qui mentionne également « l’obligation de sécurisation des données prescrite par l’article 226-17 du code pénal ».

Les personnes physiques concernées par les fuites de données peuvent donc porter plainte, estime Alexandre Lazarègue. « Il reviendra dès lors à Facebook d’apporter la preuve de la suffisance et de l’effectivité des mesures de sécurité qu’elle a prises ». La Cnil peut également enclencher une procédure, et notamment demander à l’éditeur du site qui publie ces données, puis à l’hébergeur de celui-ci, de retirer ce fichier ou de rendre inaccessible la base de données en question ou le site l’hébergeant.