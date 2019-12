Si vous êtes un utilisateur de Facebook et que vous vous demandez si vos informations personnelles ont été divulguées, la réponse à ce stade est presque certainement «oui». Le dernier snafu sur la confidentialité d'une longue série d'entre eux implique environ 267 millions d'utilisateurs. Comparitech et chercheur en sécurité, Bob Diachenko, a repéré un référentiel de données utilisateur Facebook exposées en ligne pendant plusieurs semaines. Il a depuis disparu mais pas avant que des liens vers les données n'apparaissent sur les forums de pirates. Oui, c'est la société qui souhaite créer son propre système d'exploitation afin de pouvoir cesser d'utiliser le système d'exploitation Android open source.

Les données étaient disponibles dans Elasticsearch, un moteur de recherche en texte intégral distribué. Les chercheurs rapportent que la base de données Facebook est apparue pour la première fois dans Elasticsearch le ou vers le 4 décembre. Le 12 décembre, les données sont apparues en téléchargement sur un forum de hackers. Deux jours plus tard, Diachenko a découvert la base de données et envoyé un rapport d'abus au FAI associé à l'adresse AP. Le 19 décembre, la base de données a disparu d'Elasticsearch.

Nous pouvons supposer en toute sécurité un nombre inconnu de types de criminels en ligne qui ont réussi à récupérer la base de données avant de la mettre hors ligne. Les 267 140 436 enregistrements ne comprenaient pas de mots de passe ou d'autres informations très sensibles, mais ils comportaient des identifiants Facebook, des numéros de téléphone, un nom complet et un horodatage. À partir de cela, quelqu'un pourrait trouver votre profil Facebook pour collecter plus d'informations et mener une attaque de phishing efficace. Comparitech note que la base de données serait idéale pour les arnaques basées sur SMS.

Nous ne savons pas actuellement comment les données se sont retrouvées en ligne. Il est possible qu'un groupe ait accédé au système de Facebook via une faille de sécurité, mais cela peut également provenir de l'API de développement de Facebook. La société a restreint l'accès à cette API en 2018 après que l'ampleur du scandale Cambridge Analytica a été révélée. Auparavant, les politiques laxistes de Facebook permettaient aux développeurs de récupérer facilement les données du réseau social. Bien que le partage de ces données soit techniquement contraire aux règles de Facebook, il n'avait aucun moyen de les arrêter.

Il est troublant que cette avance de millions de fiches d'utilisateurs soit en fait un scandale relativement mineur pour Facebook. La société a déclaré qu'elle examinait l'incident, mais qu'elle pensait que les données avaient été prises avant de modifier ses règles API l'année dernière. Cependant, il n'est pas trop inquiet du résultat de l'enquête. Le réseau social a réservé 3 milliards de dollars pour couvrir les futures amendes liées à ses pratiques de confidentialité.

