Vous avez sûrement entendu parler de la publication presque gratuite d’une base de « 533 millions » de numéros de téléphone issue de Facebook (qui, malgré son nom, n’en contient qu’un peu plus de 500 millions). Cet événement paraît nouveau, mais il n’est en réalité qu’un nouvel épisode d’une histoire débutée il y a près de quatre ans, que Facebook lui-même évoque.
Une histoire de deux failles consécutives dans des fonctionnalités de Facebook, qui ont permis à des acteurs malveillants d’aspirer les informations des utilisateurs… et de constituer plusieurs bases de données, mises à la vente ces trois dernières années. La publication récente des 500 millions de numéros de téléphone ne fait qu’éclater l’affaire, et marque l’ouverture d’une enquête qui s’annonce complexe pour les autorités.
Facebook dupé par une simple manipulation
Jusqu’à septembre 2019, Facebook proposait à ses utilisateurs une fonctionnalité appelée « Find my friends » [Trouver mes amis, ndlr]. Elle offrait la possibilité d’importer les numéros de téléphone de son répertoire de contacts sur le site, ce qui permettait au réseau social d’afficher les profils rattachés aux numéros qu’il reconnaissait. Les utilisateurs pouvaient ainsi trouver leurs proches et n’avaient plus qu’à les ajouter en ami Facebook.
Le problème ? L’entreprise n’avait pas correctement encadré l’utilisation de la fonctionnalité, ce qui a permis à des malfaiteurs d’aspirer les numéros de téléphone de millions d’utilisateurs. Pour y parvenir, ils ont utilisé une technique connue sous le nom de « brute force ». Puisque Facebook ne plafonnait pas le nombre de numéros de téléphone qu’un même appareil pouvait tester avec la fonctionnalité, les malfaiteurs ont envoyé des requêtes avec de très grands nombres de numéros de téléphone… qu’ils ne connaissaient pas. Concrètement, ils ont testé les millions de combinaisons de chiffres possibles pour un numéro de téléphone, en sachant qu’une partie existait. Autrement dit, ils importaient dans « Find my friends » un faux répertoire de contacts gigantesque, composé de numéros générés de sorte à couvrir toutes les possibilités.
Facebook renseignait les malfaiteurs
Quand un de ces numéros existait réellement, Facebook leur indiquait le nom de la personne à qui il appartenait. Le réseau social confirmait ainsi l’existence du numéro, ainsi que le nom de son propriétaire, alors qu’à l’origine les malfaiteurs ne disposaient d’aucune de ces deux informations. Ce système de découverte sauvage fonctionnait quand bien même le numéro de téléphone n’était pas affiché sur le profil : il suffisait qu’il soit renseigné dans les paramètres du compte.
Et ce n’est pas tout : pour compléter ce duo nom/numéro de téléphone, les malfaiteurs avaient accès à d’autres informations via la fonctionnalité, et pouvaient aussi aspirer (scrapper, dans un langage plus technique) les informations affichées publiquement sur le profil de la personne. Ces informations variaient selon les paramétrages de sécurité de chaque utilisateur, mais on pouvait retrouver : l’identifiant Facebook, la date de naissance, la situation amoureuse, l’adresse email, ou encore la ville d’habitation.
Après la découverte de plusieurs bases de données générées par ce système courant 2019, Facebook a identifié la fonctionnalité comme l’origine du problème, et l’a réparé en septembre 2019, comme elle l’indique dans son communiqué publié le 7 avril 2021. Fin de l’histoire ? Pas vraiment.
La défense confuse de Facebook
La ligne de défense de Facebook complique la compréhension de l’affaire. L’entreprise explique qu’elle n’a pas notifié l’autorité des données irlandaise (la DPC) au sujet de la fuite, car les données auraient été collectées avant mai 2018, date de l’entrée en vigueur du Règlement général sur la protection des données, le texte européen qui contraint la notification. « Les bases de données précédemment publiées en 2019 et 2018 faisaient suite à un scrapping de grande échelle de Facebook, qui d’après les propos de Facebook à l’époque, s’était produit entre juin 2017 et avril 2018, date à laquelle Facebook a fermé une vulnérabilité dans sa fonctionnalité de recherche de téléphone », écrit la DPC dans son communiqué sur l’affaire récente.
Effectivement, le réseau social avait désactivé le 4 avril 2018 une fonctionnalité proche de celle abusée en 2019. Elle permettait de trouver le profil d’une personne en entrant son numéro de téléphone directement dans la barre de recherche du réseau social. Des malfaiteurs l’avaient alors utilisée pour obtenir en masse les informations publiques affichées par les utilisateurs de Facebook. Voici ce qu’écrivait l’entreprise : « Des acteurs malveillants ont abusé de cette fonctionnalité pour scrapper des informations publiques en soumettant des numéros de téléphone et des adresses email qu’ils possédaient déjà sur la recherche. Étant donné l’échelle et la sophistication de l’activité que nous avons observée, nous pensons que les profils publics de la plupart des personnes sur Facebook ont pu être scrappés. Nous avons donc désactivé la fonctionnalité. » Ce changement, effectué à peine deux semaines après la révélation du scandale Cambridge Analytica en plus d’être dissimulé dans une vague de changements plus larges, était passé inaperçu.
Les autorités — et Facebook lui-même — vont désormais devoir déterminer de quelle faille proviennent les numéros de téléphone de la base de données récemment. En jeu : l’absence de notification ou non à l’autorité des données, selon la date à laquelle les données ont été volées. Si Facebook ne s’est pas plié au RGPD alors que ce dernier était en vigueur, il pourrait être sanctionné lourdement.
À titre d’exemple, le site de réservation Booking.com a récemment essuyé une amende de 475 000€ pour avoir notifié l’autorité des données avec 23 jours de retard.
Il n’y a pas qu’une seule base de numéros issus de Facebook
Comme si l’affaire n’était pas déjà assez complexe, la base dite de « 533 millions » de numéros de téléphone n’est pas la seule à s’échanger. En ce moment même, une autre de base de 370 millions de lignes circule dans les forums de vente de données. D’ailleurs, Have I Been Pwned, site de référence sur les fuites de données, a indexé dans un premier temps cette base, avant de se rendre compte qu’il ne s’agissait pas de la base des « 533 millions » qui concentre l’attention médiatique. « Une large partie du contenu est identique, mais une autre large partie est aussi différente », constate Troy Hunt, le fondateur du site. Par exemple, les numéros de certains pays figurent dans une des bases, mais pas dans l’autre.
Autrement dit, il y a en réalité bien plus que 500 millions de numéros de téléphone issus de Facebook en circulation. Et de nombreuses questions restent en suspens : les différentes bases sont-elles différents sous-ensembles d’une base plus large ? Ont-elles été collectées par différents groupes de malfaiteurs ? Ont-elles été collectées à la même époque, via la même faille ?
Autant de questions complexes sur lesquelles devront se pencher les autorités pour évaluer l’ampleur de l’affaire… et les éventuelles sanctions qu’elles pourraient infliger à Facebook.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !