533 millions de numéros de téléphone, associés à des noms et des profils Facebook : voici ce qui est désormais accessible quasi librement sur le web, depuis le 3 avril 2021. Ces données ont été dérobées en 2019 par le biais d’une fonctionnalité mal sécurisée par le réseau social. Si la base de données circule depuis dans les milieux cybercriminels, elle vient d’apparaître aux yeux du plus grand nombre, de quoi soulever de nombreuses questions.
Quelles informations ont fuité ? Faut-il s’en inquiéter ? Est-il possible de vérifier si votre numéro de téléphone fait partie des données de ce leak géant ? Voici tout ce qu’il faut savoir sur cette fuite.
Fuite de données de Facebook : de quoi parle-t-on ?
Le 3 avril 2021, un internaute a mis en ligne, sur un forum spécialisé (relativement peu sécurisé), de nombreux fichiers classés par pays. Ils contiennent des informations personnelles de plus de 533 millions d’utilisatrices et utilisateurs de Facebook, le réseau social de Mark Zuckerberg. 106 pays sont concernés.
Ce qui est notable, c’est que la base de données fuitée ne contient que des profils qui sont associés à des numéros de téléphone — il n’y a pas de profil Facebook sans numéro de téléphone dans cette fuite.
Par utilisateur, on peut trouver les informations suivantes (mais pas forcément toutes). Il s’agit forcément de données qui ont été renseignées, à un moment ou un autre, par les utilisateurs :
- Nom
- Prénom
- Numéro de téléphone
- Genre
- Ville
- Statut (en couple, célibataire, etc.)
- Métier
- Adresse mail (beaucoup plus rare)
Combien de Français sont concernés ?
Le nombre est impressionnant : il y a environ 19,8 millions de comptes liés à des utilisatrices ou utilisateurs dans la base de données qui concerne la France. Cela correspond peu ou prou à un Français sur deux qui utilise Facebook (il y avait 40 millions d’utilisateurs mensuels de Facebook en France, au mois de mars 2021).
D’après les premières observations des experts indépendants, qui découvrent l’ampleur des données fuitées en fonction des pays, la France ne serait pas parmi les pays qui ont le plus gros pourcentage d’utilisateurs touchés. Dans un tableau partagé par un internaute, on peut voir par exemple que 99 % des utilisateurs marocains de Facebook seraient concernés par cette fuite (contre 13 % pour les États-Unis).
À quoi ressemble cette base de données ?
Il s’agit de millions de lignes de texte, réparties en plusieurs fichiers — car ceux-ci sont très lourds. Chaque ligne de texte correspond à un numéro de téléphone, qui est lié à un profil Facebook. La plupart des lignes contiennent des infos supplémentaires, comme un patronyme, une ville de naissance ou, beaucoup plus rare, un mail.
Les données viennent de 2019 : qu’est-ce que ça veut dire ?
Comme l’a confirmé Facebook, ces données proviennent d’une fuite qui a eu lieu en 2019. Depuis, le réseau social assure, par la voix d’un porte-parole cité par Business Insider, que la faille qui a été exploitée pour obtenir ces données a été « patchée » : cela signifie qu’elle a été théoriquement réparée, et que de nouveaux pirates ne peuvent plus essayer de s’en servir pour extraire des informations.
Pourquoi en entend-on parler à nouveau en avril 2021 ?
Ce qui a changé, c’est la quasi-gratuité de la base de données.
Jusqu’ici, ces fichiers circulaient sur le « marché noir » en ligne, et il fallait payer pour pouvoir accéder à des informations qu’ils contenaient. Numerama a pu vérifier qu’en juin 2020, un internaute avait publié un message sur le même forum anglophone pour mettre en vente cette même base de données.
Ensuite, en janvier 2021, un hackeur a créé un bot payant sur Telegram, la messagerie chiffrée. Il permettait à n’importe qui de vérifier si son profil Facebook était concerné par la fuite, ou d’entrer un numéro de téléphone pour voir à quel profil Facebook il était relié. Ces requêtes étaient payantes, sous forme de crédits (un crédit coûtait 20 dollars).
Cela a mis la puce à l’oreille d’Alon Gal, CTO d’une entreprise spécialisée en cybersécurité (Hudson Rock), qui voyait ici la preuve que les données allaient commencer à être rendues publiques pour un montant moins élevé qu’auparavant.
https://twitter.com/UnderTheBreach/status/1349671417625931778
Ça n’a pas manqué. Début avril 2021, un utilisateur d’un forum spécialisé a donc mis en ligne toutes les données, classées par pays, accessibles très facilement pour les membres inscrits.
Il n’en fallait pas plus pour que de nombreux membres téléchargent ces bases de données, puis les fassent circuler ailleurs. Désormais, bien qu’il ne soit pas possible d’accéder à ces informations aussi simplement qu’avec une recherche Google, il suffira de quelques minutes seulement aux personnes débrouillardes pour mettre la main sur lesdits fichiers.
Si ça date de 2019, est-ce vraiment grave ?
La réponse n’est pas aussi simple que la question. En soi, vu que la fuite date de 2019, les informations des 533 millions d’utilisateurs de Facebook étaient déjà vendues, sous le manteau, depuis deux ans par des pirates.
Le fait que Facebook avait « réparé » cette faille en 2019 est une bonne nouvelle, mais ce n’est pas rassurant pour autant. De nombreuses données contenues dans ce leak peuvent encore être utilisées pour nuire à des internautes en 2021. Par exemple, il y a peu de chance que vous ayez changé d’adresse mail en deux ans, voire de numéro de téléphone, que l’on garde de plus en plus longtemps. Ne parlons même pas de votre date de naissance, qui, elle, ne risque pas d’avoir changé entre 2019 et 2021.
Comment vérifier si vous êtes dans la base de données ?
Dès qu’il y a une grosse fuite, la question revient souvent. Il est absolument déconseillé de passer par des bots Telegram ou autres sites alternatifs qui vous proposent de vérifier (même gratuitement) si votre profil Facebook est bien dans la base de données.
Le site haveibeenpwned.com est d’habitude une référence en la matière. Il s’agit d’une plateforme sur laquelle vous pouvez entrer votre adresse email, et le site vous dira si elle a déjà été compromise, c’est-à-dire si on la retrouve dans des bases de données qui ont fuité par le passé.
Or dans le cas de cette fuite de Facebook, il y avait un bémol de taille, comme le concède le site haveibeenpwned lui-même : on ne trouve que 2,53 millions d’adresses mail dans cette base de données, sur 533 millions de profils (soit 0,47 % seulement) ! Le site ne permettait que de faire une recherche qu’à partir d’une adresse mail, ce qui limitait son usage. Mais le mardi 6 avril, le responsable du site, Troy Hunt a activé la possibilité de chercher son numéro de téléphone, pour ce cas précis : nous vous détaillons comment dans cet article.
Par ailleurs, vous déconseillons fortement d’essayer de vous procurer vous-mêmes ces fichiers : d’une part, il y a de forts risques que vous basculiez dans l’illégalité, mais vous prenez également de grands risques à télécharger des données à partir de sites ou forums peu sécurisés, dont vous ne connaissez rien. Dans le doute, abstenez-vous.
Que peuvent faire les pirates avec ces infos fuitées ?
Le problème de cette base de données, c’est qu’elle fait coïncider un numéro de téléphone avec un profil Facebook, et donc avec une personne quasiment unique — si on exclut de ce raisonnement les internautes qui utilisent un pseudonyme sur Facebook. Il ne s’agit donc pas juste d’un numéro, mais bien d’une combinaison qui peut être très intéressante pour les pirates ou hackers malveillants.
Avoir son numéro de téléphone dans la nature, c’est déjà, en soi, très peu agréable. Par exemple, des célébrités (comme Mark Zuckerberg lui-même, semblerait-il) ne seraient pas ravies que n’importe qui puisse mettre la main sur leur numéro de portable personnel.
Mais le numéro de téléphone est également de plus en plus utilisé par les internautes pour sécuriser, grâce à la double authentification, les accès à leurs comptes sur les réseaux sociaux (Facebook, Twitter), leur gestionnaire de mails, voire leur banque en ligne. En connaissant le numéro de téléphone, les hackeurs peuvent avoir recours au SIM Swapping (on vous détaille tout sur le SIM swapping ici) et mettre la main sur des données encore plus précieuses.
Plus simplement, obtenir votre nom, prénom et numéro de téléphone permet à des personnes mal intentionnées de vous contacter et vous faire parvenir toutes sortes d’arnaques au phishing (encore plus si elles disposent de votre adresse mail en prime), afin de vous manipuler pour que vous finissiez par communiquer vos coordonnées bancaires, ou mordre à l’hameçon d’une entourloupe qui vous soutirera de l’argent.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !