Ces données ont été mises à disposition gratuitement sur un forum pour pirates. Elles ne sont en fait pas nouvelles : elles étaient initialement apparues en juin 2020, lorsqu’un des membres essaya de les vendre.
Les informations sont issues précisément de 533 313 128 comptes et contiennent les numéros de téléphone portable, l’identifiant Facebook, le nom, le genre, la ville, le statut marital, le métier, la date de naissance ainsi que, dans de rares cas, l’adresse email. Presque toutes les entrées contiennent au moins le nom et le numéro de téléphone.
Alon Gal, directeur technique de la société de sécurité Hudson Rock, a indiqué dans une série de tweets que tout semblait pointer vers l’exploitation en 2019 d’une faille dans la fonction « Ajouter un ami ». Une brèche qui serait apparue dès 2016, si l’on en croit Motherboard, qui avertissait déjà en janvier de la revente des données.
La faille a depuis été corrigée, et on ne sait pas si elle a permis la récupération de toutes les informations, ou uniquement des numéros de téléphone auxquels auraient été ajoutées d’autres données provenant de l’analyse des profils publics.
La première revente des informations a été proposée pour 30 000 dollars l’année dernière. Peu après, un canal Telegram a été ouvert par un autre pirate pour rendre l’utilisation de la base de données payante. Mais, comme souvent, la « commercialisation » de ces informations a été proposée pour des prix de plus en bas plus bas, jusqu’à ce que les données soient proposées gratuitement, pour le gain de notoriété.
Parmi les informations, on trouve notamment les numéros de téléphone de trois des fondateurs du réseau social : Mark Zuckerberg, Chris Hughes et Dustin Moskovitz, respectivement les 4e, 5e et 6e membres inscrits sur la plateforme. Sur les 533 millions de comptes, 19 848 559 proviennent de Français, soit environ la moitié des utilisateurs dans l’Hexagone.
Bien que les données datent de 2019, il est probable que la plupart des informations soient encore valables, le numéro de téléphone changeant rarement, de même que l’adresse email, sans parler du nom, du genre ou du pays de résidence.
Ces informations peuvent servir – et ont sans doute déjà servi – à des campagnes de phishing, voire de smishing (phishing par SMS). La récupération des numéros de téléphone peut éventuellement permettre des attaques de type SIM swap scam pour récupérer des codes d’authentification multi-facteurs envoyés par SMS.
Maintenant que les informations sont publiques, la vigilance est de mise. Attention donc à certains emails ou SMS reçus, car les données personnelles augmentent le risque d’ingénierie sociale, quand bien même la personnalisation des attaques se fait davantage pour des cibles à potentiel spécifique.
Du côté de l’Electronic Frontier Foundation, on pointe une nouvelle fois un scandale lié à la vie privée sur le réseau social. Surtout, on prévoit d’avance que la faille risque de servir à nouveau d’excuse à Facebook pour renforcer les mesures retenant les utilisateurs captifs, alors que les demandes d’ouverture abondent.
La question de savoir si vous êtes concernés par la fuite est complexe. En France, mieux vaut partir du principe que c’est le cas. La base Have I Been Pwned, habituellement une référence, n’est dans le cas présent pas un indicateur fiable, car sur plus d’un demi-milliard de comptes, seuls 2,54 millions d’adresses email ont été récupérées.
Facebook n’a pas communiqué spécifiquement autour de cet incident, la plupart des porte-paroles rappelant que les informations datent de 2019 et que la fuite a été corrigée depuis.
À l’aune du RGPD, Facebook doit en principe prévenir les autorités de contrôle dans les 72 heures suivant la découverte de la fuite, à ceci près que la fuite a eu lieu avant l’entrée en application du règlement.
Ce point a été confirmé par la CNIL irlandaise, la DPC (Data Protection Commission) qui est ici autorité chef de file, l’établissement principal de Facebook en Europe étant à Dublin.
Elle a annoncé qu’elle se penchait sur cette fuite, notamment pour vérifier si les données sont identiques à celles de 2019, et s’il doit y avoir procédure.
Selon les résultats, elle pourra imposer à Facebook d’alerter l’ensemble des utilisateurs concernés, en application de l’article 33 du RGPD.
Commentaires (29)
#1
(Heureusement, je ne suis pas concerné, mais je ne peux pas en dire autant de certains de mes proches
)
#2
Les infos sont en clair dans la base de données ? Ou elles ont été déchiffrées ?
#3
Y’a moyen de consulter le fichier quelque part ? Puisqu’il y a si peu d’adresses mail, c’est compliqué de savoir si mes données ont fuités, et si oui lesquelles.
À priori je suis safe, jamais je donnerai mon n° à Facebook, et mon mail rattaché à FB est bidon. Mais dans le doute, j’aimerais vérifier …
#3.1
Oui, moi aussi j’aimerai bien vérifier.
Des captures que j’ai vu, c’était en clair.
#3.2
https://haveibeenfacebooked.com/
#3.3
Merci, mais le site implique de donner son n° de tel à une entité que je ne connais pas, je préférerais pouvoir vérifier ça autrement :/
#3.4
Les deux sites me donnent des infos contradictoires basées sur mon n° de téléphone (d’après Have I Been Pwned, mes infos on leaké de Facebook, mais pas d’après Have I Been Facebooked)
#3.5
j’ai vérifié un n° qui a vraiment fuité, reconnu comme tel par https://haveibeenpwned.com mais pas par https://haveibeenfacebooked.com/ qui n’est donc pas fiable
#3.6
Les bases ne semblent pas fiables suivant les différents sites web. J’ai comparé entre un n° trouvé dans le leak et plusieurs sites (hibp, fbleak, ….), et chacun donne des résultats différents.
Pourtant il est bien sur le leak original, mais je pense qu’il y a eu un retraitement en raison des formats de n°.
#3.8
Ça marche, merci pour l’info !
#3.7
.
google://0595273AB674E05131A757F69F494A4285B429AA
#4
https://haveibeenpwned.com a été mis à jour et permet désormais la recherche par numéro de téléphone. Format ‘336XXXXXXXX’
#5
[troll]
Euh, oui, oui, c’est bien ça la définition de Facebook. mais elle est un peu ancienne vu qu’il y a presque 3 milliards de comptes désormais.
[/troll]
#6
J’ai eu mon 1er smishing ce w-e… je crois bien que c’est la faute de Signal.
#7
On peut envoyer la facture de changement de numéro de portable à FB ?
Free me demande 5€… x19 848 559 cela ferait une belle claque financière à FB.
#7.1
Quelle idée de s’inscrire sur Facebook aussi !
#7.2
Quelle idée de donner ses vraies infos aussi.
Les seules données vraies qui y circulent ne sont pas de mon fait, mais de celui de mes proches (hélas).
#7.3
Avoir besoin de communiquer avec un grand nombre de personnes dans le cadre d’une activité professionnelle.
Facebook est un outil.
#7.6
Un outil dangereux manifestement !
#7.7
A première vue Exchange aussi est un outil dangereux, du coup j’en déduis que tu appliques le même principe de précaution.
#7.8
Je n’utilise pas d’outils Microsoft. Je suis donc tranquille de ce côté.
#7.4
C’est fou comme je ne regrette pas ma décision il y a quelques années quand un pote m’avait envoyé une invitation à ce machin et que j’ai dit “nope”.
#7.5
5*20M = 100 Million. Le chiffre d’affaire de Facebook sur 10 heures…
#8
Facebook pourrait faire son job et avertir les utilisateurs qui auraient eu leurs données fuites au lieu d’allé sur des sites tiers (meme si i have been pwned c’est fiable) .
#9
Noms, adresses et numéros de téléphone diffusés publiquement et gratuitement… de mon temps on appelait cela l’annuaire des PTT.
#10
mdr, un sacré tombreau de pigeons : 20 millions qui n’ont rien compris aux enjeux du numerique …
qui a encore des comptes chez les gafam ?
levez le doigt soyez pas honteux.
stool pigeons.
#10.1
J’ai un compte chez 3 des GAFAM, mais pas chez Facebook qui a montré depuis longtemps ne pas prendre soin des données personnelles de ses utilisateurs. Et chez les autres, j’ai restreint au maximum l’utilisation de ces données.
#11
nous on mange autrement …
www.chatons.org
#11.1
Il y a des chatons pour remplacer Amazon ?