Fuite chez Facebook :
Vos données dans la nature

Que s’est-il vraiment passé ? 

Quel impact cela peut-il avoir ?

Comment s’en protéger ?

Vous avez probablement entendu parler ces derniers jours, de l’énorme data breach (ou violation des données en français) de Facebook. Ce sont 533 millions de numéros de téléphone qui se sont retrouvés en pleine nature, dont environ 20 millions de numéros français.

Mais que s’est-il réellement passé ?

Dans un premier temps, Facebook a affirmé que la fuite avait déjà été signalée en 2019 et que depuis, la vulnérabilité qui en était à l’origine avait été corrigée. Pourtant, la réalité est que ça n’avait pas été correctement divulgué à l’époque. La plateforme a finalement reconnu l’incident mardi 6 avril, par un communiqué du directeur de la gestion des produits, Mike Clark.

Il a été déclaré que les données n’avaient pas été obtenues par piratage des systèmes. La fuite résulterait d’un “scrapping”, méthode différente du hack. « Le scraping est une tactique courante qui s’appuie souvent sur des logiciels automatisés pour extraire des informations publiques de l’internet qui peuvent finir par être diffusées dans des forums en ligne comme celui-ci » Mike Clark.

Une histoire de déclarations

Étant donné que Facebook a déclaré que la vulnérabilité de la plus récente violation de données avait été colmatée en août 2019, cela suggérerait que l’ensemble de données mentionné par les articles de CNET et TechCrunch est différent de celui qu’Insider a rapporté la semaine dernière. Alors qui dit vrai ?

Il existerait des différences observables dans les deux ensembles de données, notamment dans la proportion d’utilisateurs des divers pays. Facebook n’a pas immédiatement répondu à Insider lorsque des précisions ont été exigées.

Il faut désormais que le réseau social soit précis dans ses déclarations sur la nature exacte des données qui ont été divulguées et sur le moment où elles l’ont été. Dans le cas contraire, la firme pourrait s’attirer l’ire des régulateurs.

Avez-vous été affecté ?

Quand on apprend la nouvelle, on veut évidemment savoir si on fait partie des utilisateurs dont les données ont fuité. Il existe plusieurs moyens de le découvrir.

Have I Been Pwned

Ce site bien connu recense la plupart des violations de données. Sur Have I Been Pwned, il suffit d’entrer votre adresse mail ou votre numéro de téléphone. Ainsi, vous découvrirez non seulement si vous avez été touché par la faille Facebook, mais aussi toute autre faille dans laquelle vos données auraient pu être compromises.

Pour préserver vos données téléphoniques (ce serait dommage de les perdre en voulant savoir si ce n’a pas été le cas), pensez à saisir votre numéro de téléphone sans le 0 mais avec votre code pays: +33 pour la France, +41 pour la Suisse ou +32 pour la Belgique. Par exemple: + 33XXXXXXXXX.

The News Each Day

Un autre outil (encore une fois anglais pour le plus grand bonheur de certains) permettant de vérifier la protection de ses données face à l’incident Facebook, est un site appelé News Each Day. Comme pour le site précédent, saisissez votre numéro de téléphone pour savoir s’il fait partie de la brèche.

Pas de craintes sur la sécurité du site, selon David Johnstone, le créateur du site, afin de protéger votre vie privée, le site génère des numéros de téléphones aléatoires qui commencent par les mêmes cinq chiffres que votre véritable numéro. Finalement, le logiciel envoie environ 99 faux numéros, dont le vrai, au serveur, qui ne peut donc pas savoir lequel est le bon.

Mes données sont exposées, que dois-je faire ?

Si votre numéro se trouve dans la base de données des fuites Facebook, nous vous recommandons de faire attention aux appels téléphoniques abusifs potentiels et aux SMS frauduleux. Comme par exemple, ne pas cliquer sur les liens présents dans des messages dont vous ne connaissez pas l’expéditeur. Idem pour les appels de numéros inconnus : la technologie est magique et, surtout si c’est un appel important, le correspondant laissera un message.

En outre, il est important de mettre en garde contre les dangers de l’échange de cartes SIM ou SIM swapping. Une technique qui permet à un hacker de voler votre identité. Lorsqu’il dispose de suffisamment d’informations, le fraudeur contacte le fournisseur de téléphonie mobile de la cible et incite le représentant du service clientèle à transférer le numéro de téléphone vers une carte SIM appartenant à celui-ci. 

Le plus souvent, l’excuse qui sera utilisée par le hacker sera que le transfert est nécessaire en raison du vol ou de la perte du téléphone. Changer de numéro de téléphone sans changer de forfait mobile pourrait donc être une bonne solution pour se protéger.

Notre meilleure recommandation est d’activer l’authentification à deux facteurs dans la mesure du possible. En plus du mot de passe, il ajoute également de nouvelles étapes d’authentification, telles qu’un message avec un code, l’utilisation d’une clé de sécurité ou une application d’authentification.

Si quelqu’un essaie d’accéder à votre compte après avoir piraté votre mot de passe, il devrait donc normalement être bloqué par la confirmation de votre identité, qui aura lieu sur votre smartphone.

Il est également fortement conseillé d’utiliser un mot de passe unique pour chaque compte. Pour ce faire, il existe de nombreux gestionnaires de mots de passe qui permettent de créer et suivre des mots de passe pour chaque site (de sorte que si l’un d’entre eux est compromis, cela n’affectera pas les autres). Voici une petite sélection de gestionnaires, à vous de choisir celui qui vous convient le mieux :

  • Lastpass (il y a une version gratuite même si limitée, pour avoir accès à toutes les fonctionnalités, l’abonnement est vivement conseillé) 
  • 1Password (Une version d’essai est disponible gratuitement pendant 30 jours, il vous faudra ensuite passer à l’abonnement premium)
  • Dashlane (Comme pour les autres, il existe une version gratuite, vous serez par contre limité à 50 mots de passe enregistrés)
  • Keeper (Globalement une alternative à 1Password, avec une version d’essai de 30 jours également)

Si même les plus gros sites ne sont pas à l’abri d’une fuite importante de données, c’est bien la preuve qu’il faut redoubler d’attention pour sécuriser ses informations personnelles. Nous ne le répéterons jamais assez, mais ni le RGPD ni aucune autre loi ou réglementation ne peut empêcher les failles des outils que nous utilisons au quotidien. A chacun de redoubler de vigilance et d’adopter les bons réflexes pour éviter le pire. N’oubliez pas non plus que se tenir informé permet aussi de réagir plus vite.