Point de piratage derrière la divulgation d’un ensemble de données de 530 millions d’utilisateurs de Facebook. Les informations n’ont pas été dérobées lors d’une intrusion dans les systèmes du réseau social, mais scrapées depuis des profils publics, via un utilitaire du géant qu’il a depuis fermé.
Il y a quelques jours, les informations de plus de 530 millions d’utilisateurs de Facebook étaient publiées sur un forum mal fréquenté. Une nouvelle fuite de données chez le réseau social ? Rien n’était moins sûr : le géant a rapidement signalé que ces données remontaient à 2019. Telle une traînée de poudre, l’information se répand sur le web et dans la presse. Mais d’où viennent donc ces données, et posent-elles un risque pour les utilisateurs ?
Le jeu de données en question contient diverses informations, notamment le numéro de téléphone des utilisateurs lié à leur compte Facebook. Et quand bien même la fuite remonte à deux ans, ces données pourraient être exploitées lors de campagnes de phishing ou encore pour compromettre un peu plus les identifiants des utilisateurs concernés.
Les fuites, un problème récurrent chez Facebook
Quant à la fuite, les tergiversations vont bon train. Car ces dernières années Facebook a régulièrement été au centre de l’attention sur des sujets de protection des données personnelles, et de leurs multiples fuites. En 2018, des centaines de millions de noms et de numéros de téléphones d’utilisateurs du réseau social s’évanouissaient dans la nature à l’occasion d’un changement de politique du géant. La même année, la compromission de tokens d’authentification concernait 30 millions d’utilisateurs et toutes leurs informations. En 2019, ils étaient 540 millions à voir leurs identifiants, Likes et commentaires exposés en ligne. Les données divulguées en ce mois d’avril proviennent-elles de ces fuites ? Ou peut-être d’un nouveau scandale dans la lignée de Cambridge Analytica ?
Ni une, ni deux, la Data Protection Commission irlandaise se saisit du dossier, puisqu’une portion significative des utilisateurs concernés sont Européens. Dans un communiqué, elle rapporte que des “ensembles de données antérieurs” avaient déjà été diffusés en 2019 et 2018, suite à un “scraping” de grande ampleur entre juin 2017 et avril 2018. Soit une période antérieure au RGPD : Facebook avait choisi de ne pas en informer la DPC jusqu’à maintenant. “Les données en cause semblent avoir été collectées par des tiers et proviennent potentiellement de sources multiples” indique désormais Facebook à la DPC, promettant d’enquêter.
Scraping
Et les premiers éléments ont été fournis par l’entreprise de Mark Zuckerberg hier dans un post. A commencer par l’invalidation de toutes les rumeurs précédentes : ces données n’ont pas été dérobées par la compromission des systèmes de Facebook, ancienne ou récente.
“Il est important de comprendre que les acteurs malveillants ont obtenu ces données non pas en piratant nos systèmes mais en les récupérant de notre plateforme avant septembre 2019” signale le réseau social. Les données en question ont été extraites par des acteurs malveillants à l’aide d’un programme d’automatisation du scraping et de l’utilitaire d’importation de contacts de Facebook.
Une fonctionnalité “conçue pour aider les gens à trouver facilement leurs amis avec lesquels se connecter sur nos services à l'aide de leurs listes de contacts” mais employée à des fins malveillantes, de sorte que ces “pirates” aient été en mesure “d’interroger un ensemble de profils d'utilisateurs et obtenir un ensemble limité d'informations sur les utilisateurs inclus dans leurs profils publics.”.