Un expert en sécurité informatique déclare avoir découvert une base de données contenant des millions d'informations personnelles. Facebook examine cette fuite et pense qu'il s'agit d'éléments anciens, récupérés avant un cloisonnement plus strict. Mais dans tous les cas de figure, c'est le signe que la permissivité du réseau social reste encore un problème, qu'elle soit de l'histoire ancienne ou non.

L’année se termine par une fausse note pour Facebook. Depuis le 19 décembre, le réseau social est en effet plongé dans une polémique sur la protection des données personnelles d’internautes qu’il détient. Cette fois, comme de nombreuses fois avant, c’est la mauvaise sécurisation de certains outils techniques mis à disposition des développeurs qui est au cœur du problème.

Les recherches du spécialiste en sécurité informatique Bob Diachenko ont montré que des tiers malveillants ont pu abuser des interfaces de programmation d’application (API) du site communautaire pour aspirer des millions d’informations. Selon le compte de l’expert, dont le site Comparitech se fait l’écho, ce sont plus de 267 millions d’entrées de comptes, pour la plupart américains, qui sont touchés.

Et pour chacune de ces entrées, on trouve aussi bien l’identifiant Facebook de l’utilisateur, un numéro de téléphone, un nom complet et un horodatage. La bonne nouvelle, c’est que des éléments hautement sensibles comme le mot de passe n’y figurent pas. Cependant, l’accès aux numéros de téléphone pourrait déboucher sur des tentatives d’escroquerie, sur un mode opératoire similaire à l’hameçonnage (phishing).

Des serveurs opérés par Facebook dans un centre de données. // Source : Facebook

Selon les constatations de Bob Diachenko, la base de données ne serait plus disponible depuis le 19 décembre — en tout cas, sur le forum sur lequel elle a été partagée, car il n’est pas impossible qu’elle ait été récupérée par un tiers et reproposée ailleurs. Celle-ci avait été mise en ligne le 12 décembre, avant d’être rendue inaccessible après un signalement du chercheur.

La manière dont ces informations ont été collectées n’est pas encore établie avec certitude.

Une première piste suggère que cette fuite a eu lieu avant que Facebook décide, en 2018, de restreindre l’accès aux numéros de téléphone. En effet, cette information était proposée avant l’an dernier, puisque Facebook souhaite permettre aux développeurs de concevoir des applications avec une dimension sociale : en clair, pour personnaliser l’expérience, ils peuvent récupérer et afficher certaines informations, comme un nom ou une photo, mais aussi la liste des amis et des éléments de profil.

C’est cette ouverture qui a donné lieu à l’affaire Cambridge Analytica, dans un contexte de manipulation politique lors du Brexit et de l’élection de Donald Trump.

D’autres pistes sont envisageables et elles sont encore moins glorieuses : il pourrait s’agir d’une fuite ayant profité d’une brèche de sécurité malgré les restrictions d’accès mis en place par Facebook depuis 2018. Ou alors, il pourrait tout simplement s’agir d’une vaste extraction de données, sans passer par l’API de Facebook, mais en aspirant tout ce qui est accessible publiquement sur les profils des internautes.

Un cloisonnement bancal ?

Si c’est bien l’API de Facebook qui est en cause, force sera alors de constater que le réseau social ne parvient toujours pas à cloisonner et encadrer correctement l’accès aux données de ses membres, et cela malgré le séisme provoqué par Cambridge Analytica et les suites politiques — Mark Zuckerberg avait été entendu par la Chambre des représentants et le Sénat aux USA, mais aussi par le Parlement européen.

Mark Zuckerberg lors d’une keynote. // Source : Wikicommons

En tout cas, s’il est effectivement établi que ces informations ont été obtenues après 2018 — ce que semble suggérer une capture d’écran publiée par Comparitech dans laquelle on voit un horodatage de janvier 2019 –, ce sera un nouveau signe de la difficulté à réparer Facebook et son trésor de guerre : la donnée pour le ciblage marketing.

De fait, même si ce sont des éléments récupérés il y a longtemps, avant un cloisonnement plus strict pour éviter des abus, le fait est que la permissivité du réseau social en matière de données personnelles reste encore un problème, que celle-ci soit toujours d’actualité ou non. Cette politique remonte malheureusement à loin : par exemple, des partenariats ont été conclus avec 150 entreprises entre 2010 et 2018 pour accéder à des données privées, y compris des messages.

En attendant, Facebook joue la carte de l’apaisement. Un porte-parole du réseau social a indiqué à l’AFP que ces informations seraient en réalité assez anciennes. « Nous sommes en train de regarder ce problème, mais nous pensons qu’il s’agit d’informations obtenues avant les changements effectués ces dernières années pour mieux protéger les données des personnes  ».

Partager sur les réseaux sociaux

La suite en vidéo