Facebook : une amende de 251 millions d’euros pour une faille de sécurité en 2018
"Voir en tant que ... pirate"
La CNIL irlandaise a infligé une amende de 251 millions d'euros à Meta, la maison mère de Facebook, pour une faille de sécurité touchant environ 29 millions d'utilisateurs du réseau social qu'elle avait elle-même signalée en septembre 2018. L'entreprise a aussi accepté de payer une somme d'environ 30 millions d'euros à des utilisateurs australiens suite à l'affaire Cambridge Analytica.
Le 18 décembre à 12h07
6 min
Droit
Droit
Ce mardi 17 décembre, l'autorité de protection des données irlandaise (Data Protection Commission, DPC) a annoncé avoir enfin pris deux décisions officielles concernant une faille de sécurité que Facebook avait signalée en septembre 2018. Résultat, Meta, la maison mère du réseau social, devra payer une amende de 251 millions d'euros.
L'autorité explique que cette faille a touché environ 29 millions d'utilisateurs dans le monde dont approximativement 3 millions en Europe (Dans l'Union européenne ou dans la zone économique européenne). Les données concernées étaient notamment : le nom complet de l'utilisateur, son adresse électronique, son numéro de téléphone, sa localisation, son lieu de travail, sa date de naissance, sa religion, son sexe, les messages publiés sur sa timeline, les groupes dont l'utilisateur était membre et les données à caractère personnel de ses enfants.
3 bugs dans la fonctionnalité « Voir en tant que »
Cette faille résultait, rappelle l'autorité irlandaise, de l'exploitation par des pirates de jetons (tokens) d'utilisateur sur la plateforme Facebook qui permettent de ne pas se reconnecter à chaque fois qu'on consulte un site. En effet, le billet de blog publié à l'époque par Facebook (et dépublié mais archivé sur Internet Archive) expliquait que les pirates avaient exploité trois bugs distincts pour accéder à ces jetons via la fonction « Voir en tant que ».
D'abord, cette fonctionnalité, qui ne devait être qu'en lecture seule, permettait de publier une vidéo dans certaines conditions (notamment en utilisant la publication d'un message de bon anniversaire). Ensuite, l'upload d'une vidéo générait un jeton d'accès avec les autorisations de l'application mobile de Facebook.
Enfin, l'utilisation de cet upload de vidéo dans le cadre de la fonctionnalité « Voir en tant que » générait un jeton d'accès de l'utilisateur que la fonctionnalité simulait et non de l'utilisateur connecté. « Les attaquants ont ensuite pu passer de ce jeton d'accès à d'autres comptes, en effectuant les mêmes actions et en obtenant d'autres jetons d'accès », expliquait Facebook.
La DPC assure que Facebook a réglé le problème « peu de temps après sa découverte ». À l'époque, dans son billet de blog, l'entreprise expliquait avoir repéré la faille le 25 septembre, soit trois jours avant de l'annoncer. Elle expliquait avoir réinitialisé les jetons d'accès « de près de 50 millions de comptes qu'[elle savait] affectés » et de 40 millions de comptes supplémentaires qui ont fait l'objet d'une recherche « Voir en tant que » au cours de l'année écoulée.
L'entreprise avait aussi désactivé la fonction « Voir en tant que » qu'elle n'a remis en activité en mai 2019 en supprimant la possibilité de choisir la vue d'une personne spécifique.
On peut aussi constater que, d'une estimation de 50 millions de comptes touchés dans ce billet, celle-ci a été revue à la baisse dans les informations transmises par la DPC à 29 millions d'utilisateurs concernés. Selon la DPC, l'accès à la faille a duré pendant 14 jours entre le 14 et le 28 septembre 2018.
Pas assez d'informations transmises et une mauvaise conception de la protection des données
Si Facebook avait communiqué publiquement sur cette faille, l'autorité irlandaise explique avoir pris une première décision de condamnation car l'entreprise n'a pas communiqué toutes les informations requises par le RGPD dans ces circonstances. Deux amendes de 8 et 3 millions d'euros ont été prononcées, au nom de l'article 33 du règlement, pour le manque de communication de l'entreprise de Mark Zuckerberg dans cette affaire qui était l'une des premières concernant un GAFAM après l'entrée en vigueur du règlement européen.
Une deuxième décision prise par la DPC inflige deux amendes un peu plus lourdes pour le géant du numérique de 130 et 110 millions d'euros. L'autorité s'appuie sur l'article 25 du RGPD sur la protection des données dès la conception et protection des données par défaut. Pour l'autorité, l'entreprise n'a pas pris soin de protéger les données de ses utilisateurs dès la conception de la fonctionnalité qu'elle a mise en place. Elle n'a pas non plus pris soin de vérifier que « seules les données à caractère personnel nécessaires à des finalités spécifiques soient traitées ».
Pour le responsable de la DPC, Graham Doyle, cette décision « montre que le fait de ne pas intégrer les exigences en matière de protection des données tout au long du cycle de conception et de développement peut exposer les personnes à des risques et à des préjudices très graves, y compris un risque pour les droits et les libertés fondamentaux des personnes ».
À l'AFP, Meta a indiqué vouloir faire appel et a ajouté : « nous avons pris des mesures immédiates pour résoudre le problème dès qu'il a été identifié, et nous avons informé de manière proactive les personnes impactées ainsi que la Commission irlandaise de protection des données ».
30 millions d'euros pour les utilisateurs australiens suite à l'affaire Cambridge Analytica
La même journée, Meta a aussi accepté de verser un total de 50 millions de dollars australiens (environ 30 millions d'euros) aux utilisateurs du pays suite à l'affaire Cambridge Analytica, a annoncé le gouvernement australien.
« L'accord conclu aujourd'hui représente le paiement le plus important jamais effectué pour répondre aux préoccupations concernant la vie privée des personnes en Australie », a déclaré Elizabeth Tydd, la responsable de l'autorité australienne de protection des données.
Cet accord exige que Meta mette en place un système de paiement qui sera géré par un administrateur tiers indépendant. La somme sera répartie entre les utilisateurs australiens qui en font la demande et qui répondent à certaines conditions (détenir un compte Facebook entre le 2 novembre 2013 et le 17 décembre 2015, avoir été présent en Australie pendant plus de 30 jours au cours de cette période et avoir installé l'application This is Your Digital Life ou avoir été des amis Facebook d'une personne ayant installé l'application).
Facebook : une amende de 251 millions d’euros pour une faille de sécurité en 2018
-
3 bugs dans la fonctionnalité « Voir en tant que »
-
Pas assez d'informations transmises et une mauvaise conception de la protection des données
-
30 millions d'euros pour les utilisateurs australiens suite à l'affaire Cambridge Analytica
Commentaires (1)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 20/12/2024 à 20h24