Piratage de Facebook: les 20 millions de Français concernés seront-ils prévenus par l'entreprise?

Ils sont près de 20 millions à être concernés, sans réel recours possible. Comme l'a révélé le chercheur en cybersécurité Alon Gal, les numéros de téléphone de 533 millions d’utilisateurs de Facebook, dont 19,8 millions de Français, sont librement accessibles sur le Web.

La fuite de données, qui est l'une des plus graves ayant jamais touché l'entreprise, n'est pas nouvelle. En réalité vieille de deux ans, la faille l'ayant causée avait été découverte en janvier dernier. Ces mêmes données auront dans un premier temps été mises en vente, au compte-gouttes ou par lots, sur l'application de messagerie chiffrée Telegram, avant d'être rendues disponibles gratuitement ces derniers jours.

Une large base en accès libre

La très large base, qui circule actuellement en ligne, est accessible à tous. Pourtant, rares sont les moyens à disposition des Français pour déterminer s'ils sont, ou non concernés. En théorie, et conformément au RGPD, le règlement européen en vigueur sur la protection des données personnelles, Facebook est tenu d'informer ses utilisateurs européens d'une telle fuite de données. Mais rien n'indique à l'heure actuelle que le réseau ait procédé à une telle notification, au cas par cas.

Dans un mémo publié à la suite d'une très large fuite de données de santé, qui avait en février concerné près d'un demi-million de Français, la Cnil était venue rappeler les obligations des organismes à la suite d'une fuite de données massive. Parmi elles, l'obligation de procéder à une notification auprès de la Cnil dans les 72 heures ayant suivi la découverte de la faille.

"En outre, lorsque la fuite de données est susceptible d’engendrer un risque élevé pour les droits et les libertés, les organismes responsables ont l’obligation d’informer individuellement les personnes concernées du fait que leurs données ont été compromises et publiées en ligne", mentionnait également l'autorité de protection des données personnelles.

La gravité de la fuite de données vient donc entrer en ligne de compte pour obliger, ou non, les entreprises qui en sont victimes à informer les personnes concernées. Et si des manquements sont constatés, la Cnil peut engager des actions répressives. En l'occurrence, la faille constatée chez Facebook expose non seulement des numéros de téléphone d'utilisateurs mais aussi leur identifiant Facebook, permettant de faire le lien avec leur profil.

Autant d'informations sensibles qui pourraient être utilisées par des personnes malintentionnées pour du démarchage téléphonique ou pour de simples tentatives d’escroquerie en ligne, dont du phishing (ou hameçonnage). La fuite est qualifiée de “négligence absolue” par Alon Gal, sur son compte Twitter.

Sans notification personnelle de Facebook, les utilisateurs français du réseau social peuvent partir du principe qu'ils sont concernés, et agir en conséquence. Plus de la moitié des profils français du réseau sont en effet compris dans cette base. Plusieurs réflexes élémentaires s'imposent dès lors. Dont celui de changer impérativement son mot de passe et de ne pas cliquer négligemment sur les liens douteux qui pourraient vous parvenir par mail ou SMS.