Facebook savait que les numéros de téléphones de centaines de millions d'utilisateurs étaient dans la nature. Pourtant, aucune des personnes concernées n'a été prévenue. Pire, aucune instance européenne n'a été alertée non plus.

Les numéros de téléphone de 19,8 millions de Français circulent sur le web quasiment gratuitement depuis début avril 2021, et aucun n’a été prévenu individuellement.

Il s’agit de numéros que ces internautes ont renseignés, à un moment ou un autre, dans Facebook, le réseau social actuellement fréquenté par 40 millions de Français par mois. Le plus grave, c’est que ces numéros (en 06 ou 07) ne viennent pas seuls : chacun est relié à un profil Facebook unique, qui contient un nom, un prénom, et parfois d’autres informations comme la ville de naissance ou, plus rarement, une adresse mail.

Il s’agit du « Facebook Leak de 2019 », une fuite géante de données personnelles, que des pirates vendaient sous le manteau depuis au moins deux ans, mais qui ont récemment été publiées librement (et illégalement) sur internet.

Pour tout comprendre à ce qu’il s’est passé, nous avons dédié un article complet à cette fuite de 2019 qui peut encore avoir des conséquences graves aujourd’hui. Si votre numéro se trouve dans la fuite (vous pouvez désormais le vérifier ici), voici ce que vous pouvez faire.

Comment ces numéros ont-ils été dérobés ?

Un porte-parole l’a confirmé lui-même au site Business Insider : Facebook était au courant de cette fuite de données depuis au moins 2019, vu que le groupe a affirmé avoir « réparé » la faille qui a permis à des hackers de s’en emparer. Pourtant, aucun utilisateur ou utilisatrice concernée n’a été contacté directement, ou prévenu d’une quelconque manière, par le réseau social.

Numerama a demandé à quatre personnes dont le profil Facebook et le numéro de portable se sont retrouvés dans la fuite : aucun n’a reçu de message pour les en alerter, entre 2019 et 2021. Nous avons contacté Facebook récemment sur le sujet, qui n’a pas souhaité répondre à nos questions précises. En revanche, l’entreprise a publié un communiqué le 6 avril, dans lequel elle confirme que ces données ont bien été dérobées avant 2019, non pas en piratant le réseau social, mais en aspirant des informations qui étaient à l’époque publiques (ou difficilement trouvables).

En effet, Facebook avait eu l’idée (relativement contestable, au vu des risques pour la vie privée), de permettre de chercher un numéro de téléphone dans sa barre de recherche et de pouvoir ainsi trouver des profils Facebook correspondants. Cette option était active entre 2017 et 2018. En avril 2018, la plateforme était revenue sur cette fonctionnalité, réalisant que des « personnes malveillantes ont abusé cette fonction pour aspirer des informations publiques ».

La base de données qui s’échangeait sous le manteau depuis 2019 serait donc en partie constituée de numéros de téléphone aspirés entre 2017 et 2018.

Une image d’illustration qui reprend les codes couleur de notre super média Cyberguerre // Source : Numerama

Facebook n’a alerté aucune instance de contrôle européenne

Ce qui est certain, c’est que Facebook était au courant que ces numéros avaient été aspirés depuis au moins 2018, et que les informations personnelles de centaines de millions d’utilisateurs étaient dans la nature. Alors, pourquoi personne n’a été prévenu ?

En Europe, nous sommes soumis aux règles du RGPD (Règlement général sur la protection des données), qui est entré en application en mai 2018. Facebook s’est engagé à  le respecter en Europe, comme on peut le lire sur son site officiel. Il y est inscrit qu’en cas de « violation de données à caractère personnel », l’entreprise ou la personne responsable du traitement de ces données (ici, Facebook) doit notifier l’existence de cette fuite à « l’autorité de contrôle compétent », au maximum dans les 72 heures à la suite de la constatation de la violation (sous peine de devoir s’expliquer de ce retard). En France, cette institution est la Cnil.

Le siège européen de Facebook étant basé à Dublin, c’est l’équivalent de la Cnil irlandaise, appelée la DPC (Data Protection Commission), qui peut agir. C’est ce qu’elle a commencé à faire : le 6 avril 2021, elle a assuré dans un communiqué prendre le sujet très au sérieux, et a donné des informations précieuses pour comprendre comment le réseau social a géré (ou non géré) cette crise.

« Aucune démarche proactive de communication »

Ce que l’on y apprend, c’est que contrairement à ce que demande le RGPD, Facebook n’a pas communiqué cette violation de données à caractère personnel à la DPC irlandaise. La raison avancée serait que les numéros de téléphone aient été dérobés « entre juin 2017 et avril 2018 », soit avant que Facebook ne ferme la fonctionnalité faillible, et donc avant l’entrée en application du RGPD. « Vu que cette aspiration de données a eu lieu avant le RGPD, Facebook a choisi de ne pas la notifier comme une violation de données, comme l’entend le RGPD », écrit la DPC, citant la logique de Facebook.

Cependant, la DPC indique que la base de numéros qui circule actuellement serait probablement constituée de « données originales de 2018 (pré-RGPD) et d’autres fichiers additionnels, qui peuvent provenir d’une période plus proche dans le temps. » C’est une suggestion que Facebook dément : « Nous pensons que les informations de cette base de données, rendue publique ce week-end, viennent d’une aspiration de données datant d’avant 2018 et 2019 », a-t-il assuré à la DPC.

C’est visiblement la seule réponse qu’a obtenue la Cnil irlandaise, qui n’y pas par quatre chemins pour souligner qu’en-dehors de cette phrase, le réseau social n’aurait engagé « aucune démarche proactive de communication » depuis le 4 avril 2021, malgré le fait que la fuite ait été reprise dans une grande partie des médias nationaux du monde.

Et pour la France ?

La Cnil a annoncé, ce 6 avril 2021, qu’elle « travaillera en coopération avec la DPC », et précise qu’elle s’intéressera particulièrement aux points suivants :

  • Vérifier les circonstances de la violation ;
  • Examiner les mesures prises par Facebook concernant cette violation ;
  • S’intéresser notamment à « l’éventuelle communication directe aux personnes concernées par la fuite ainsi que les mesures de sécurité mises en œuvre avant et après cette fuite pour réduire les risques pour les personnes concernées. »

La question de la communication directe aux victimes de la fuite est donc bien sur la table, et ne semble pas si facile à résoudre. La raison se trouve à l’article 34 du RGPD, que nous avons épluché.

Pourquoi Facebook n’a-t-il pas prévenu les victimes individuellement ?

En cas de fuite de données, le RGPD détaille deux signalements différents obligatoires : une aux instances de contrôle (article 33) et une, dans des cas particuliers, directement aux victimes ciblées par la fuite (article 34).

Cet article 34 du règlement dispose que lorsque le risque lié à cette fuite est jugé « élevé », le responsable du traitement des données doit aussi prévenir toutes les personnes concernées : « Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais  », peut-on lire.

Le « risque élevé » est défini dans le RGPD par la négative. En gros, un risque est considéré comme élevé sauf si :

  • Des « mesures de protection techniques et organisationnelles appropriées » ont été mises en œuvre et qu’elles ont été « appliquées aux données à caractère personnel affectées par ladite violation », comme le chiffrement pour les rendre indéchiffrables par exemple — ce qui n’est pas le cas ici, puisque les données compromises n’ont pas pu être chiffrées ou protégées à postériori ;
  • La communication auprès de chaque individu concerné «  exigerait des efforts disproportionnés » — ce qui n’est pas le cas ici, car Facebook aurait tout à fait la possibilité d’envoyer une notification ciblée à chaque profil européen qui apparaît dans la base de données ;
  • « Le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés » des victimes de la fuite «  n’est plus susceptible de se matérialiser » — ce qui n’est pas non plus le cas, puisque les bases de données étaient déjà constituées et circulaient relativement librement.

En somme, si on se fie aux principes mis en avant dans l’article 34, Facebook aurait probablement dû prévenir ses utilisateurs européens concernés par cette aspiration de leurs numéros de téléphone.

Or, contacté par le Monde le 7 avril, Facebook a assuré qu’il ne comptait pas prévenir les personnes concernées, car ces numéros ne viendraient pas d’un hack mais d’une «  aspiration » de données, et qu’il s’agit, toujours selon lui, d’ «  informations publiques ».

Si cette fuite date d’avant 2019, est-ce bien grave ?

Le fait que le leak date de 2019, et que les données ont peut-être été aspirées encore plus tôt, ne veut pas dire qu’il n’y a pas de risques actuellement que les données soient exploitées.

Prenons un exemple. Si vous avez un gros pouf rempli de petites billes de polystyrène. D’une, c’est mauvais pour la planète. De deux, imaginez maintenant qu’un petit trou ait été percé et que des milliers de toutes petites billes se soient échappées. Même si vous avez rebouché le trou avec une agrafeuse, et que les billes à l’intérieur ne s’échappent plus, les autres boules blanches sont encore dehors. On ne peut plus faire comme si on ne les avait jamais vues. Elles peuvent même être récupérées et vendues (à des amateurs de billes blanches de poufs, oui, pourquoi pas).

Un numéro de téléphone se change rarement toutes les années ou les deux ans : il est donc assez certain qu’une grande partie des 20 millions de Français concernés ont encore le même numéro — et encore plus certain qu’ils aient gardé le même patronyme.

Pour comprendre les risques qu’encourent les victimes de cette fuite, cet article de Cyberguerre, le média de Numerama sur la cybersécurité, pourra vous permettre d’aller plus loin sur la question.

Partager sur les réseaux sociaux

La suite en vidéo