Sécurité

Facebook et les fuites de données personnelles, une longue série de fiascos


Depuis le 3 avril dernier, l’émotion est vive. Les données de plus d’un demi-milliard d’utilisateurs Facebook circulent librement sur la Toile : nom, numéro de téléphone, statut marital, adresse e-mail, etc. C’est indubitablement un nouveau sommet dans l’histoire de la mauvaise gestion des données personnelles chez Facebook. C’est aussi l’occasion de faire une petite sélection des plus grands fiascos que ce réseau social nous a livré durant les trois dernières années.

Janvier 2021 : prélude à la catastrophe d’aujourd’hui

En début d’année, le chercheur en sécurité Alon Gal avait lancé une alerte sur Twitter  : il révélait l’existence de ce fichier de 533 millions d’utilisateurs Facebook. À l’époque, il n’était pas accessible gratuitement. Chaque compte coûtait une vingtaine de dollars. Réaction de Facebook : aucune.

Décembre 2019 : « scraping » vietnamien

Des chercheurs de Comparitech tombent sur un serveur Amazon contenant les données de 267 millions d’utilisateurs. Le type de données est assez similaire à la base de 533 millions d’utilisateurs. Des cybercriminels présumés vietnamiens ont probablement exploité la fonction de recherche inversée par numéro de téléphone pour les collecter en masse. En mars 2020, les chercheurs découvrent un second serveur du même groupe de cybercriminels, avec les données de 42 millions d’utilisateurs.

Septembre 2019 : « scraping », acte 1

Des chercheurs de GDI Foundation trouvent un serveur en accès libre avec les données de 419 millions d’utilisateurs Facebook. Ces données sont redondantes et, finalement, se réduisent à 219 millions d’utilisateurs. Face à cette énormité, Facebook explique que « cette base de données est ancienne et semble contenir des informations obtenues avant que nous ayons supprimé la fonctionnalité permettant aux gens de trouver d’autres personnes à l’aide de leurs numéros de téléphone ». En effet, cette fonctionnalité d’annuaire inversée a été supprimée… en avril 2018.

Avril 2019 : des applis tierces siphonnent le graphe

Des chercheurs d’UpGuard détectent plusieurs serveurs Amazon avec, au total, plus d’un demi-milliard de lignes de données Facebook : des commentaires, des réactions, des groupes, des mots de passe, des adresses e-mail, etc. Ce fatras a été collecté par des applications tierces qui, à une certaine époque, pouvaient assez facilement accéder au graphe de Facebook. Dans ce cas, plusieurs centaines de millions d’utilisateurs étaient probablement concernés.

Décembre 2018 : partages de données

« Veuillez nous excuser pour la gêne occasionnée », écrit Facebook, après le partage involontaire des photos privées de 6,8 millions d’utilisateurs auprès d’applications tierces. Un bug dans l’interface de programmation permettait aux partenaires de Facebook d’accéder aux photos qui leur étaient normalement interdites. Mais cette histoire n’est rien face à la révélation faite par le New York Times ce même mois. Pendant des années, Facebook aurait ainsi partagé les données de ses utilisateurs avec les géants de la Silicon Valley en toute discrétion, dans le cadre de deals commerciaux secrets.

Septembre 2018 : vol de jetons d’authentification

Il arrive aussi que les serveurs de Facebook soient piratés, comme en septembre 2018, quand des hackers ont réussi à siphonner les données personnelles de 50 millions d’utilisateurs. Pour y arriver, ils ont exploité des failles dans la fonction « Voir en tant que… » pour mettre la main sur des jetons d’accès des utilisateurs, ce qui leur permettait de carrément se connecter à leurs comptes. Royal. Parmi les données volées figurent le nom, le sexe, la date de naissance, la religion, le lieu d’habitation, les 10 dernières géolocalisations, etc.

Mars 2018 : le scandale Cambridge Analytica

The Guardian et The New York Times font éclater le scandale autour de Cambridge Analytica, cette société qui a siphonné les données de 87 millions d’utilisateurs pour créer leurs profils psychologiques et faciliter la victoire de Donald Trump. Cette affaire montre, pour la première fois, l’effrayant pouvoir que détient Facebook avec son incroyable trésor de données personnelles.




Source link