Fuites de données et Facebook

De façon claire et commune, le plus grand réseau social au monde qui cumule à lui seul plus de plusieurs milliards de visiteurs n’est pas un véritable modèle en matière de protection de données.

En effet, plusieurs spécialistes de la sécurité informatique affirment l’avoir prévenu au moins une fois Facebook face aux différentes vulnérabilités de ses outils. Des avertissements qui sont restés malheureusement sans suite. Récemment le monde entier a pu observer de manière concrète les conséquences de cette négligence de la part de Facebook. 500 millions d’utilisateurs ont vu leurs données en circulation libre sur internet avec les nombreux risques que cela comporte. Pour se défendre face à cette énième fuite d’informations personnelles, Facebook a mentionné que le problème qui aurait pu causer cette situation a été résolu depuis 2019. Cependant, plusieurs spécialistes de la sécurité informatique ne sont pas d’avis.

Cet article va aussi vous intéresser : Facebook aurait été victime d’une fuite de données ?

« Je suis sûr que d’autres entreprises transpirent aussi maintenant. Ce n’est pas seulement Facebook. » explique Inti De Ceukelaire, un chercheur en sécurité informatique belge au média spécialisé spécialisé Wired. Ce dernier fait partie de ceux qui ont signalé à Facebook en 2017 une faille de sécurité qui touchait son outil d’importation de contenus. La même fonction qui permet de scanner les carnets d’adresses des utilisateurs dans le but de les mettre en contact avec des potentiels connaissances. Cependant cette vulnérabilité n’est pas seulement le fait de Facebook. Elle touche aussi Instagram et WhatsApp. En dehors de ceux-ci, d’autres applications de communication utilisent les mêmes outils. Mais si on parle de Facebook, c’est parce que le réseau social a connu plusieurs difficultés au fil du temps. Et chaque fois il aurait promis des correctifs de sécurité. « C’est un thème récurrent pour Facebook qui, à chaque fois que la croissance est en jeu, réfléchit à deux fois avant de réparer quelque chose au profit de la vie privée de l’utilisateur », ajoute Notre expert en cybersécurité.

Le média spécialisé Wired avait noté que dès 2013, le réseau social avait été prévenu par plusieurs chercheurs de ce genre de problème. Un rappel aussi qu’en 2012, l’on a assisté à une fuite de données qui provenaient de l’outil « Téléchargez vos données ». Ce qui a permis aux pirates informatiques de récupérer facilement plusieurs données personnelles qui n’étaient même pas référencées par les utilisateurs, à savoir des adresses mails et numéros de téléphone par exemple. De plus en 2018, suite à une enquête menée par la Commission à la Protection de la vie privée canadienne, il a été conclu que : « Facebook n’avait pas mis en place de garanties appropriées avant la violation pour protéger les informations personnelles des utilisateurs et non-utilisateurs qui retrouvaient de fait leurs données en tant que contacts piratés. ».

Selon Inti De Ceukelaire : « le problème est toujours présent. Il est assez simple d’énumérer des numéros de téléphone et d’extraire des informations d’utilisateurs associées via la fonction d’importation de contacts. À l’époque, il avait soumis la faille au programme Bug Bounty de Facebook, mais l’entreprise n’avait pas jugé le problème suffisamment important pour justifier l’obtention d’une récompense, soit la reconnaissance quelque part d’un bug délicat pour le service. ».

Du côté de Facebook, il a été déclaré une possibilité de revoir à la baisse le nombre de fois qu’une importation de contact par l’utilisateur serait possible. Cependant le réseau social sur refuse d’accepter cela comme une faille de sécurité.

En 2019 rappelons-le, l’hacker connu sous la dénomination @ZHacker13 se présentant comme un chasseur de bug et hacker éthique, avait présenté à Facebook un rapport de vulnérabilité concernant son outil d’importation de contact de Instagram. Grâce à cela il était possible pour les pirates informatiques de pouvoir extraire suffisamment d’informations telles que les numéros de téléphone de manière automatisée. À la soumission du rapport de vulnérabilité, le réseau social avait répondu en ces termes : « être déjà au courant du problème à la suite d’une découverte interne » et que ce genre de failles de sécurité ne présentaient qu’un « risque extrêmement faible (…) à moins de déterminer à quel identifiant utilisateur spécifique était lié une adresse mail ou un numéro de téléphone. ». Pour que Facebook reconnaisse ce rapport comme étant légitime et accepte de verser une prime de bug hauteur de 4 000 dollars rechercher en sécurité informatique, il a fallu que le magazine Forbes publie un article sur la question. Selon sa justification Facebook déclare alors : « Cela aurait pu permettre à un utilisateur malveillant d’imiter Instagram et de rechercher des numéros de téléphone pour trouver à quels utilisateurs ils appartenaient ».

Malheureusement le réseau social ne change pas sa manière de fonctionner. C’est la même rhétorique qui a été utilisée pour contourner le problème de la fuite de données de 500 millions d’utilisateurs. « Nous avons apporté des modifications pour empêcher les acteurs malveillants d’utiliser un logiciel pour imiter notre application et télécharger de grands ensembles de numéros de téléphone pour voir lesquels correspond aux utilisateurs de Facebook », s’expliquait Facebook.

Accédez maintenant à un nombre illimité de mot de passe :