Facebook Leaks : le réseau social était au courant de la faille et n’a rien fait plus tôt

 
Durant plusieurs années, de nombreux experts en cybersécurité ont signalé à Facebook des problèmes de vulnérabilité de l’outil d’importation de contacts, sans que la firme n’y prête attention. Rien d’étonnant à aboutir à un piratage de données de plus de 500 millions d’utilisateurs selon eux. Mais les risques pour la plateforme pourraient être grands.
facebook 37 millions utilisateurs france
Crédits : Unsplash / Alex Haney

Plus de 530 millions d’utilisateurs Facebook se sont récemment retrouvés avec leurs données personnelles dans la nature et cela aurait pu ne jamais arriver. Selon la plateforme qui a finalement reconnu le problème, tout a été résolu en 2019. Mais ce n’est pas l’avis des chercheurs en cybersécurité…

De multiples problèmes déjà soulevés par le passé

« Je suis sûr que d’autres entreprises transpirent aussi maintenant. Ce n’est pas seulement Facebook« , explique à Wired Inti De Ceukelaire, un chercheur belge. Dès 2017, il a signalé à Facebook une faille dans son outil d’importation de contenu. Car c’est bien cette fonction qui scanne votre carnet d’adresses pour vous suggérer des personnes que vous connaissez qui est en cause.

Mais elle n’est pas propre au réseau social de Mark Zuckerberg, dont le numéro a également fuité, et à ses différents services comme WhatsApp ou Instagram. De nombreuses plateformes et outils de communication l’utilisent. Celui de Facebook a multiplié les soucis au fil du temps, avec à chaque fois la promesse de correctifs apportés. « C’est un thème récurrent pour Facebook qui, à chaque fois que la croissance est en jeu, réfléchit à deux fois avant de réparer quelque chose au profit de la vie privée de l’utilisateur », ajoute l’expert en cybersécurité.

FACEBOOK : votre NUMÉRO de téléphone a FUITÉ ?! Quels sont les dangers et comment se PROTÉGER ?

Lien YouTube S’abonner à Frandroid

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par YouTube.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par YouTube avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.

Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.

Gérer mes choix

Wired rappelle que, dès 2013, Facebook a été alerté par des chercheurs sur des problèmes similaires. En 2012, une fuite de données depuis l’outil « Téléchargez vos données » avait permis à des hackers de récupérer des données personnelles pourtant non référencées par les utilisateurs (numéros de téléphone, mails notamment). Ils avaient par ce biais activé la fonction d’importation de contacts.

En 2018, l’enquête de la Commission à la protection de la vie privée du Canada avait conclu que « Facebook n’avait pas mis en place de garanties appropriées avant la violation pour protéger les informations personnelles des utilisateurs et non-utilisateurs » qui retrouvaient de fait leurs données en tant que contacts piratés.

Pas une vulnérabilité selon Facebook…

Pour Inti De Ceukelaire, le problème est toujours présent. Il est assez simple d’énumérer des numéros de téléphone et d’extraire des informations d’utilisateurs associées via la fonction d’importation de contacts. À l’époque, il avait soumis la faille au programme Bug Bounty de Facebook, mais l’entreprise n’avait pas jugé le problème suffisamment important pour justifier l’obtention d’une récompense, soit la reconnaissance quelque part d’un bug délicat pour le service.

Pour aller plus loin
Fuite Facebook : le « SIM swapping » ou le risque de se faire voler son numéro de téléphone mobile

Facebook s’était contenté de répondre que la plateforme pourrait revoir à la baisse le nombre maximum de soumissions d’importation de contacts par un utilisateur –qui aurait ici la forme d’une attaque d’énumération de numéros de téléphone pour trouver des utilisateurs–, mais que ce n’était pas une vulnérabilité. Il avait également pointé du doigt la fonction « Qui peut me rechercher » dans les paramètres de confidentialité qui pouvait possiblement aller en contradiction, et passer outre, la demande de ne pas divulguer certaines informations de profil réservées à l’utilisateur seulement ou à ses amis.

Par défaut, « Tout le monde » peut vous trouver avec votre mail ou votre numéro de téléphone sur Facebook

Il a fallu attendre 2019 pour que la plateforme ajoute un paramètre « Seulement moi » dans la fonction « Qui peut me chercher ». Mais la fonction par défaut reste « Tout le monde » et il est ainsi toujours possible de renseigner votre adresse e-mail ou votre numéro de téléphone si vous l’avez renseigné pour vous retrouver.

… Mais finalement oui

L’énorme base de données qui a ainsi fuité la semaine passée a donc pu être longuement et simplement préparée. En 2019, le hacker @ZHacker13, qui se présente davantage comme un chasseur de vulnérabilités et un chercheur, avait soumis un rapport de vulnérabilité sur un bug similaire dans l’outil d’importation de contacts d’Instagram. Les pirates pouvaient extraire des données en procédant à une attaque d’énumération de numéros de téléphone automatisée, plus efficace que celle découverte en 2017.

Facebook avait répondu « être déjà au courant du problème à la suite d’une découverte interne » et que ce genre de vulnérabilités ne présentait qu’un « risque extrêmement faible (…) à moins de déterminer à quel identifiant utilisateur spécifique était lié une adresse mail ou un numéro de téléphone. »

Pour aller plus loin
Facebook Leaks : voici les deux outils pour vérifier si votre numéro est dans la nature

Il aura fallu que Forbes publie un article à la suite de sa découverte pour que Facebook reconnaisse finalement son rapport comme légitime et lui verse la prime de 4000 dollars promise à tout chasseur de bugs. « Cela aurait pu permettre à un utilisateur malveillant d’imiter Instagram et de rechercher des numéros de téléphone pour trouver à quels utilisateurs ils appartenaient », avait alors justifié Facebook.

De sérieux risques de poursuites

Mardi dernier, Facebook a utilisé la même rhétorique pour expliquer la récente vulnérabilité de son réseau social et la faille qui a permis de récupérer les données de plus de 500 millions d’utilisateurs.

« Nous avons apporté des modifications pour empêcher les acteurs malveillants d’utiliser un logiciel pour imiter notre application et télécharger de grands ensembles de numéros de téléphone pour voir lesquels correspond aux utilisateurs de Facebook », s’est expliqué la plateforme américaine, arguant que les données en fuite n’étaient pas aussi sensibles que des données de santé ou financières, et que rien ne prouvait réellement que les hackers avaient récupéré les données en piratant le système.

Facebook a rémunéré, et donc admis, une vulnérabilité dans son outil d’importation de contacts qui s’avère être le même pour Instagram et Facebook. Même si l’entreprise assure que les incidents sont survenus « avant septembre 2019 » (date de publication de l’article de Forbes). Selon Wired, construire la base de données découverte aurait nécessité plusieurs sessions de « grattage » de données, vraisemblablement avant 2018. De quoi laisser la place à l’ouverture d’une enquête un peu partout dans le monde, puisque 20 millions de Français sont aussi concernés.

Source : Unsplash / Tim Bennett

Pour Ashkan Soltani, ancien responsable de la Federal Trade Commission américaine, organe de surveillance, il ne fait aucun doute que la prudence de Facebook trahit une certaine inquiétude. « Étant donné la façon dont ils essaient d’être si prudents pour indiquer qu’ils n’ont pas été piratés, je pense qu’ils sont probablement très conscients du fait qu’ils pourraient être confrontés à une responsabilité importante », a-t-il expliqué au média spécialisé.

Notre émission Twitch SURVOLTÉS, c’est un mercredi sur deux de 17h à 19h : retrouvez-vous nous pour parler voiture électrique ou vélo électrique, autour de débats, d’interviews, d’analyses et de jeux !

Signaler une erreur dans le texte
Source : Wired
Melinda Davan-Soulas
  • Wasteak

    Si tu permet aux gens de te retrouver en tapant ton numéro dans la barre de recherche ce n'est pas ce que j'appelle avoir un numéro en privé.

  • nikolahorvath

    Quand tu as ton téléphone leaké et que ce dernier n'est pas en public c'est qu'il y a un soucis. Même Zuckerberg c'est fait prendre son numéro perso, alors que je suppose que ce dernier n'est pas fou pour mettre son numéro perso en public. Facebook dira ce qu'il veut pour minimiser le mécontentement des gens, par contre ce que je trouve anormal c'est que nos données soient exploités, et que nous ayant aucun dédommagement dessus !

  • nikolahorvath

    Facebook ils sont bon pour partir à la chasse de leur utilisateur et de les empêcher de poster du contenu en prétextant que la source audio appartient à un major, mais pour alors pour protéger ses utilisateurs ils savent pas faire. Raison de plus pour dire que FB c'est tout pour les entreprises et rien pour les autres. En attendant j'espère qu'une plainte sera déposé pour dédommager les personnes concernés par cette fuite. Je ne parle pas d'amende des états car on sait de toute façon qu'on touchera rien de cet argent, mais de dédommagement direct aux personnes concernés, après tout c'est notre vie privé qui est exploité ici

  • Tre

    Avec le rgpd l'UE va les mettre à genoux ! On ne joue pas dans impunité avec les données des européens ! 😁

  • Wasteak

    Oui c'est ça le soucis

  • Sebi11

    Sur le fond, t'as pas tort. Sur la forme, leur communication est désastreuse car je doute que beaucoup d'utilisateurs avaient conscience des impacts.

  • Wasteak

    Je suis un peu d'accord avec Facebook pour le coup, quand ils disent que "les données en fuite n’étaient pas aussi sensibles que des données de santé ou financières" surtout. On parle de données que les utilisateurs ont mis en public sur le site (accepter qu'on puisse te retrouver a partir de ton numéro c'est le mettre en public), pas de données privées qui ont leak.

Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)

En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.

Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.

Gérer mes choix

Lectures liées

Humanoid Native
Casque, manette, souris ou clavier : il est encore temps de mettre un produit Razer au pied du sapin

Casque, manette, souris ou clavier : il est encore temps de mettre un produit Razer au pied du sapin

Safari : cette faille corrigée par Apple était peut-être plus vieille que vous

Safari : cette faille corrigée par Apple était peut-être plus vieille que vous

Google Photos

Avec cette mise à jour, Google Photos se rapproche un peu plus d’un réseau social

WhatsApp // Source : Photo de Dima Solomin sur Unsplash

WhatsApp se rapproche encore plus d’un réseau social avec cette mise à jour

Logo de l'application Procreate

« La créativité se fait, elle ne se génère pas » : la très célèbre application iPad, Procreate, à contre-courant sur l’IA

Threads : le réseau social de Zuckerberg gagne du terrain sur celui d’Elon Musk

Threads : le réseau social de Zuckerberg gagne du terrain sur celui d’Elon Musk

Les derniers articles

Facebook

La dernière vidéo

Android 16 pourrait être la DERNIÈRE version d'Android par Google !

Android 16 pourrait être la DERNIÈRE version d'Android par Google !

Les tendances

Les derniers articles