533 millions de comptes, dont l'un appartenait au directeur général Mark Zuckerberg, ont vu leurs informations personnelles exposées sur Internet plus tôt ce mois. Des outils en ligne permettaient à quiconque de vérifier si ses informations, notamment ses numéros de téléphone, avaient été révélées. Facebook, qui n’avait pas informé les utilisateurs touchés par cette fuite, veut maintenant vous faire croire que la récupération des données personnelles des centaines de millions de personnes sur sa plateforme et leur mise en ligne par des personnes malveillantes est une chose à « normaliser ». C’est ce qu’un document interne, envoyé par inadvertance à un journaliste par un agent des relations publiques de Facebook, révèle.Au début du mois d’avril, des malfaiteurs ont proposé gratuitement à tous sur un forum consacré au piratage 70 Go de noms, de numéros de téléphone, de dates de naissance, d'adresses électroniques et d'autres données provenant des profils Facebook de personnes dans 106 pays, grâce à une faiblesse de sécurité de la plateforme. Après avoir volé les données en 2019, les criminels les ont d’abord achetées et vendues entre eux avant de les partager via un site caché sous Tor, invitant quiconque à venir se servir.
Facebook a déclaré par la suite qu'il ne notifierait pas plus d'un demi-milliard d'utilisateurs de l'incident, un porte-parole affirmant que la société de médias sociaux n'était pas sûre d'avoir une visibilité totale sur les utilisateurs qui devraient être notifiés. Il a également déclaré que l'incapacité des utilisateurs à résoudre le problème, ainsi que la disponibilité publique des données, ont pesé dans la décision.
Le journaliste belge Pieterjan van Leemputten de DataNews a posé quelques questions à l'entreprise de Mark Zuckerberg sur le vol et la mise en ligne de données de comptes au début du mois. Un agent des relations publiques de Facebook a envoyé accidentellement au journaliste une copie d'un document interne détaillant la stratégie du réseau antisocial pour contenir la fuite de 533 millions de comptes. Le mémo, dont le contenu était exaspérant, mais sans surprise, révèle plus de détails. Dans une section intitulée "Stratégie à long terme", Facebook a déclaré :
« En supposant que le volume de la presse continue de diminuer, nous ne prévoyons pas de déclarations supplémentaires sur cette question. À plus long terme, cependant, nous nous attendons à davantage d'incidents de scraping et nous pensons qu'il est important à la fois d'en faire un problème industriel général et de normaliser le fait que cette activité se produit régulièrement.
« Pour ce faire, l'équipe propose un billet de suivi dans les prochaines semaines qui parle plus largement de notre travail anti-scraping et fournit plus de transparence sur le travail que nous faisons dans ce domaine. Bien que cela puisse refléter un volume important d'activité de scraping, nous espérons que cela contribuera à normaliser le fait que cette activité est en cours et évitera les critiques selon lesquelles nous ne sommes pas transparents sur des incidents particuliers ».
Facebook a confirmé à BBC News que le mémo, qui était un résumé de couverture diffusé par l'équipe de relations publiques du site de médias sociaux, était authentique.
« Cela ne devrait surprendre personne que nos documents internes reflètent ce que nous avons dit publiquement. Comme l'ont montré LinkedIn et Clubhouse, le scraping de données est un défi à l'échelle de l'industrie auquel nous nous engageons à nous attaquer et à éduquer les utilisateurs », a déclaré un porte-parole de l'entreprise. « Nous comprenons les inquiétudes des gens, c'est pourquoi nous continuons à renforcer nos systèmes pour rendre plus difficile le scraping de Facebook sans notre permission et pour poursuivre les personnes qui en sont à l'origine ».
L’application de réseau social Clubhouse a, en effet, connu une fuite de données de ses utilisateurs la semaine dernière. Une chercheuse en sécurité et le PDG de Clubhouse ont déclaré que cette fuite était en réalité le résultat d’un scraping de données sur la plateforme. 1,3 million d'enregistrements d'utilisateurs ont été divulgués gratuitement sur un forum de pirates populaire. Seulement toutes les informations concernées par la fuite semblent être des données accessibles au public. LinkedIn a subi le même sort un peu plus tôt avec les données personnelles de 500 millions d'utilisateurs.
La découverte en 2019 de la fuite des données des comptes par Facebook mise en cause
Facebook a déclaré que les données étaient anciennes, provenant d'une fuite précédemment signalée en 2019. Il a nié tout acte répréhensible, affirmant que les données ont été grattées à partir d'informations publiquement disponibles sur le site. Mais il doit maintenant faire face à une enquête du commissaire irlandais aux données pour savoir s'il a enfreint les règles du GDPR, et à une action en justice massive de la part des citoyens de l'UE concernés, qui ont eu une série de données personnelles divulguées, y compris des numéros de téléphone.
L'e-mail publié par le journaliste indique que la couverture médiatique de la question par les "publications mondiales de premier plan" avait déjà diminué de 30 %. Facebook a également noté que la couverture de la fuite en début du mois a été "critique" et serait motivée par les informations fournies par les experts en données et les régulateurs. L'e-mail résume la façon dont l'histoire a été rapportée à ce jour :
« Les publications se sont montrées plus critiques à l'égard de la réponse de Facebook, qu'elles ont qualifiée d'évasive, de détournement de la responsabilité et d'absence d'excuses pour les utilisateurs concernés », a noté la société, ajoutant que les articles étaient souvent motivés par des citations d'« experts en données ou de régulateurs, désireux de critiquer la réponse de l'entreprise comme étant insuffisante ou de présenter l'affirmation de l'entreprise selon laquelle les informations étaient déjà publiques comme trompeuse ». « Les régulateurs s'étant concentrés sur cette question, il faut s'attendre à ce que les critiques continuent à fuser dans la presse », poursuit le communiqué.
Le journaliste belge a également mis en doute l'affirmation de Facebook selon laquelle le problème a été découvert et résolu en août 2019, soulignant que le hacker éthique Inti De Ceukelaire avait averti l'entreprise deux ans plus tôt qu'il était possible de trouver le numéro de téléphone d'une personne via Facebook. Il a écrit dans un post sur Medium en 2017 que l'équipe de sécurité de Facebook a rejeté ses conclusions, affirmant que « cela n'expose pas d'informations supplémentaires sur les utilisateurs qui n'étaient pas déjà publiques ».
Selon De Ceukelaire, le mémo qui a fuité « a révélé ce que nous soupçonnions depuis longtemps, mais maintenant c'est là noir sur blanc – Facebook se soucie plus de sa réputation que d'informer ses utilisateurs ». Il a poursuivi en disant que Facebook avait tenté de « tourner le problème ». « Au début, ils ont été complètement silencieux, puis ils ont donné à la presse une phrase sur le fait que les données étaient anciennes et quand cela n'a pas fonctionné, ils ont commencé à parler de la façon dont il s'agissait de scraping plutôt que du propre système de Facebook ».
De Ceukelaire a ajouté que les données n'étaient pas anciennes, car les numéros de téléphone ne changent généralement pas, et aussi que les paramètres de confidentialité originaux pour les numéros de téléphone étaient extrêmement confus.
Le courriel complet de l’agent des relations publiques de Facebook note également que l'équipe juridique et politique de Facebook « travaille sur les réponses au grand nombre de demandes réglementaires que nous avons reçues dans le monde entier » et que Facebook souhaite « coordonner comment et quand nous répondons à ces questions ».
Sur une page d’aide, dont Facebook fait la promotion, le géant des réseaux sociaux tente de s’adresser aux utilisateurs sous un autre ton, après avoir montré son intention de ne pas informer les personnes touchées par la divulgation de données personnelles. Toutefois, Facebook dit qu’il ne peut pas empêcher la réapparition de ce type d’informations à l’avenir.
« La confidentialité est importante pour Facebook et nous prenons très au sérieux notre responsabilité de protection de vos informations personnelles. Nous souhaitons mettre à votre disposition davantage d’informations et de ressources pour vous aider à comprendre ce qu’il s’est passé, ainsi qu’à déterminer quels types de données ont été récupérées et ce que vous pouvez faire pour protéger vos informations sur Facebook ».
« Nous nous attachons à protéger les informations personnelles des utilisateurs en nous efforçant d’obtenir le retrait de cet ensemble de données et nous continuerons à poursuivre, dans la mesure du possible, les acteurs malveillants qui utilisent nos outils à mauvais escient. Bien que nous ne puissions pas toujours empêcher la réapparition de ce type d’informations ou la mise à disposition de nouvelles données, nous disposons d’une équipe spécialisée dans ce domaine », a écrit Facebook dans son article d’aide.
« Vous pouvez utiliser de nombreux sites Web pour voir si vos informations ont été récupérées. Vous pouvez consulter le site Web indépendant Have I Been Pwned pour vérifier si votre numéro de téléphone ou adresse e-mail font partie de ce lot d’informations ou d’autres ensembles de données publiés dans le secteur », ajoute le réseau social, avant de rediriger les utilisateurs vers la page "Sécurité en ligne" de la FTC afin de « découvrir comment mieux protéger vos informations en ligne ».
Sources : DataNews, Facebook
Et vous ?
Qu’en pensez-vous ? Facebook souhaite la normalisation de ces ennuyeuses fuites de données. Quel est votre avis à ce sujet ? Les fuites de données ne sont-elles pas déjà normalisées sur Facebook ? Facebook dit qu’il ne peut « pas toujours empêcher la réapparition de ce type d’informations ou la mise à disposition de nouvelles données ». Quel commentaire en faites-vous ?Voir aussi :
533 millions de numéros de téléphone et de données personnelles d'utilisateurs de Facebook ont été divulgués en ligne, 20 millions appartiennent à des utilisateurs en France Facebook ne prévoit pas d'informer le demi-milliard d'utilisateurs touchés par la fuite des données, ce serait de votre faute si des pirates ont obtenu votre numéro de téléphone L'Irlande ouvre une enquête RGPD sur Facebook, suite à la fuite de données qui a exposé 533 millions de contacts, elle encourt une sanction financière allant jusqu'à 4 % de son chiffre d'affaires Pourquoi la prétendue fuite de données de Clubhouse est probablement en réalité juste un "scraping" de données, toutes les informations semblent être des données accessibles au public 
Envoyé par tanaka59
)
).
