Les numéros de téléphone et d'autres données personnelles de plusieurs centaines de millions d'utilisateurs de Facebook ont été stockées par un tiers et mal protégés.

Ce mercredi 4 septembre, TechCrunch a révélé qu’une entreprise avait laissé accessibles des données de 419 millions d’utilisateurs du réseau social Facebook, collectées avant les mesures prises pour empêcher ces agissements.

C’est un chercheur en cybersécurité, Sanyam Jain, qui a repéré la faille. Il a pu trouver une base de données en ligne dans laquelle il y avait des numéros de téléphone associés aux ID de 419 millions d’inscrits sur Facebook. Ces identifiants sont en théorie anonymes mais ils sont publics et permettent donc de retrouver un compte.

Mark Zuckerberg lors d’une conférence Facebook. // Source : WikiCommons

Dans certains cas, il a remarqué que le numéro était relié à des informations encore moins anonymes. Apparaissaient ainsi les noms des utilisateurs, leur genre et leur pays de résidence. TechCrunch a pu vérifier quelques numéros et a constaté qu’ils appartenaient bien aux personnes nommées dans le document.

Toutes ces données étaient stockées sur le serveur d’une entreprise, qui n’était pas protégé avec un mot de passe. Elles n’étaient pas non plus chiffrées. Le média a contacté l’hébergeur qui a retiré les données.

Comment ont été obtenus ces numéros ?

Facebook a expliqué les faits. Il a indiqué que les numéros et les autres informations personnelles avaient du être récupérées il y a longtemps déjà. « Les données sont vieilles et il semblerait qu’elles aient été obtenues avant que nous faisions des changements l’an dernier  », a dit l’entreprise.

En avril 2018, le réseau social a en effet mis fin à la possibilité de trouver des utilisateurs en tapant leur numéro de téléphone dans la barre de recherche. Cette fonctionnalité soulevait de nombreuses questions car elle permettait aux entreprises de collecter des numéros et les associer avec un profil, grâce à une méthode simple de scraping, qui permet d’extraire les données publiques d’un site Web.

Selon Facebook, il n’y aurait pas de raison de penser que les données trouvées par Sanyam Jain ont été utilisées à des fins malveillantes. Il s’agit malgré tout pour la firme d’une révélation de plus sur la faible protection des données qu’elle garantissait avant que n’éclate l’affaire Cambridge Analytica.

Il est possible que d’autres entreprises aient profité des anciennes faiblesses de Facebook

Après cette affaire, de nombreuses fuites ou failles ont été identifiées. La plupart du temps — comme c’est le cas ici –, elles n’étaient pas directement imputables à Facebook, mais plutôt liées à ses règles d’utilisation et la manière dont le réseau social laissait accéder ses partenaires à des données, facilement exportables. Ce sont des sociétés tierces qui ont profité de certaines autorisations pour collecter massivement des données, sans que les utilisateurs n’en soient vraiment conscients.

Facebook ayant déjà colmaté la faille dans son règlement qui laissait les tiers récupérer des numéros de téléphone, cela ne devrait plus arriver à l’avenir. Il est en revanche presque sûr que d’autres entreprises ont encore à leur disposition de telles listes de données.

À lire sur Numerama : J’ai (enfin) découvert pourquoi des marques inconnues me ciblaient sur Facebook

Partager sur les réseaux sociaux