TOUT COMPRENDRE - L’immense faille de sécurité de Facebook qui concerne 20 millions de Français

C’est une nouvelle crise majeure pour Facebook en matière de cybersécurité et de protection des données de ses utilisateurs. Le réseau social le plus utilisé au monde, ainsi que sa filiale Instagram, ont été victimes de hackers qui ont pu collecter illégalement des millions de numéros de téléphone. Si la faille a depuis été corrigée, les dégâts potentiels restent immenses.

• D’où vient cette fuite de données?

Pour comprendre la fuite de données, il faut remonter à septembre 2019. A l’époque, un spécialiste en cybersécurité découvre une importante faiblesse dans la sécurisation d’Instagram et Facebook, en raison d’une faille dans la fonction permettant d’importer ses contacts sur la plateforme. Auprès du magazine Forbes, il annonce qu’un utilisateur mal intentionné pourrait ainsi récupérer des millions de numéros de téléphone d’utilisateurs de Facebook et Instagram. Une menace qui est devenue réalité.

Bien que les équipes du géant californien aient corrigé la faille, un chercheur en cybersécurité révèle en janvier 2021 qu’un hacker a réussi à récolter quelque 530 millions de numéros de téléphone et propose à quiconque le désire de les acheter sur l’application de messagerie Telegram. L’affaire a pris une nouvelle ampleur ce 3 avril 2021 avec l’apparition de l’intégralité de cette base de données, désormais gratuite, sur des forums spécialisés. Et donc un risque bien plus grand d’utilisation malveillante des informations personnelles des victimes.

• Combien d’utilisateurs sont touchés?

Au total, 533 millions d’utilisateurs de Facebook - sur 2,7 milliards - sont concernés, partout dans le monde. La France est l’un des pays comptant le plus de victimes, avec 20 millions d’utilisateurs touchés sur 40 millions d’utilisateurs de Facebook dans l’Hexagone.

D’autres pays européens sont concernés, comme l’Espagne avec 11 millions d’internautes visés, l’Allemagne (6 millions) ou encore l’Italie (36 millions). Il est pour l’heure difficile d’évaluer la part de données liées à Facebook et Instagram, dont les systèmes de connexion sont souvent liés.

• Quelles données sont concernées?

La base de données, qui prend la forme d'immenses documents de texte, affiche une liste d’utilisateurs par pays. On y voit apparaître des données qui peuvent souvent être publiques (comme le nom, le prénom, l’adresse mail, mais aussi le statut marital ou la profession) mais surtout une donnée privée et sensible: le numéro de téléphone.

En consultant la base de données, BFMTV a testé vingt utilisateurs de Facebook. Onze sont apparus dans la base, avec à chaque fois l’authentique numéro de téléphone portable. Les coordonnées de plusieurs personnalités politiques de premier plan sont également recensées.

• Quels risques pour les victimes?

Pour une victime, le principal risque est que son numéro de téléphone est utilisé à des fins malveillantes. Par exemple pour du phishing par SMS, avec l’envoi de messages d’arnaque d’autant plus susceptibles d’être pernicieux qu’ils peuvent être personnalisés avec les publications Facebook des victimes pour gagner en crédibilité.

D’autres dangers comme l’arnaque à la carte SIM existent également. Cette escroquerie consiste à joindre l’opérateur téléphonique de la victime afin de se faire envoyer une carte SIM liée à son numéro de téléphone, pour pouvoir utiliser tous les outils sensibles mobilisant la double authentification, consistant à doubler le mot de passe d’un code envoyé par SMS. La double authentification est utilisée par la plupart des réseaux sociaux, mais aussi par les applications bancaires.

Cette base de données pose aussi des risques plus larges: il est ainsi possible de trier les utilisateurs en fonction de leur profession, par exemple pour cibler les employés de certains ministères, hôpitaux, ou autres infrastructures sensibles particulièrement visées par les pirates informatiques.

• Comment savoir si on est concerné?

Certains sites existent pour vérifier la présence de son adresse mail dans une fuite de données. Face à l'ampleur de la faille de Facebook, le site Have I Been Pwned? a ajouté une fonction de recherche par numéro de téléphone, afin que chacun puisse vérifier s'il fait partie des victimes. Notons qu'il est impératif de renseigner le format international du numéro de téléphone, débutant donc (pour un numéro de portable en 06) par "+336".

En vertu de la loi sur la protection des données personnelles, Facebook était dans l’obligation d’avertir les utilisateurs concernés. Ce qui n’a, à ce jour, jamais été fait. Contactée par BFMTV, la multinationale n’a pour l’heure pas répondu.