En avril 2021, on apprenait que 553 millions de numéros de téléphone étaient dans la nature, issus de Facebook dans une affaire qu’on a appelé les Facebook Leaks. Un an après, revenons sur cette affaire et sur les moyens de contrer ce piratage qui concerne Meta, la maison mère de Facebook.
Article rédigé dans le cadre du cours de Communication d’influence et guerre par l’information de Zineb B. Serghini en troisième année de licence Médias, Culture et Communication à l’Université Catholique de Lille.
553 millions de numéros de téléphone dans la nature
Le 6 juin 2020, un membre d’un forum d’une communauté de hackers a publié un message d’annonce de la vente de données d’utilisateurs de Facebook, dans un fichier contenant plus de 553 millions de profil issus de 106 pays avec plusieurs informations : numéro de téléphone portable, identifiant Facebook, nom et prénom, sexe, localisation, statut relationnel, profession, date de naissance et adresse mail (certains profils n’avaient pas toutes ces informations).
Numerama rapporte également qu’en janvier 2021, “un hackeur a créé un bot payant sur Telegram […] qui permettait à n’importe qui de vérifier si son profil Facebook était concerné par la fuite, ou d’entrer un numéro de téléphone pour voir à quel profil Facebook il était relié. Ces requêtes étaient payantes”.
Le site d’information spécialisé dans les nouvelles technologies et notamment dans la sécurité informatique Bleeping Computer a évalué le prix de départ de cette base de données à 30 000$ ; petit à petit, le prix a diminué, jusqu’à être publiée le 3 avril 2021 sur le même forum pour une somme dérisoire. C’est Business Insider qui repère en premier la publication de ces données avec Alon Gal, directeur de la technologie de la société de renseignement sur la cybercriminalité Hudson Rock.
Avoir des centaines de millions de numéros de téléphone pose évidemment la question des dangers provenant des pirates informatiques et de ce qu’ils pourraient faire d’illégal avec. Au-delà de ces dangers que l’on peut deviner, comment limiter les dégâts de cette fuite, que ce soit du côté des autorités publiques mais aussi du côté des acteurs privés du numérique ?
Les dangers potentiels des Facebook Leaks
D’où vient la fuite ?
Jusqu’en septembre 2019, comme le rapporte Numerama, le réseau social proposait une fonctionnalité nommée “Find my friends” (”Trouver mes amis”) : “elle offrait la possibilité d’importer les numéros de téléphone de son répertoire de contacts sur le site, ce qui permettait au réseau social d’afficher les profils rattachés aux numéros qu’il reconnaissait. Les utilisateurs pouvaient ainsi trouver leurs proches et n’avaient plus qu’à les ajouter en ami sur Facebook”. Cependant, la fonctionnalité avait un défaut de conception : “Facebook ne plafonnait pas le nombre de numéros de téléphone qu’un même appareil pouvait tester […] les malfaiteurs ont envoyés des requêtes avec de très grands nombres de numéros de téléphone”.
A partir de là, Facebook “confirmait ainsi l’existence du numéro” en le reliant à un de ses membres. A partir de là, les hackers ont utilisé des méthodes de “scrapping” : à partir d’un programme informatique, ils pouvaient “extraire” les informations publiques d’un profil Facebook et l’attacher à un numéro de téléphone, selon les paramètres de confidentialité de l’utilisateur.
En septembre 2019 donc, Facebook “a identifié la fonctionnalité comme l’origine du problème, et l’a réparé”.
Les dangers potentiels liés aux Facebook Leaks
Ces numéros de téléphone, combinés avec les informations liées, pourraient être utilisées par des pirates informatiques pour viser certaines personnes via des arnaques au “phishing” (”hameçonnage”), dans le but de récupérer des mots de passe, des coordonnées bancaires. De plus en plus de systèmes informatiques ont recourt à une double authentification, à savoir un mot de passe mais aussi un code envoyé par SMS à entrer (réseaux sociaux, banque, boîte de messagerie). A l’aide de ces numéros de téléphones, des hackers pourraient recourir au “SIM swapping” (une méthode d’échange de carte SIM qui permet de détourner les messages et appels reçus sur un numéro de téléphone).
Un autre élément qui n’avait pas été repéré en avril 2021, parce que lié avec un scandale survenu plus tard, c’est la surveillance et en particulier la surveillance ciblée. Parmi ces centaines de millions de numéros de téléphone, on compte ceux de certaines célébrités ; le numéro de Mark Zuckerberg était d’ailleurs présent dans cette faille. En juillet 2021, le collectif de journalistes Forbidden Stories a publié une enquête mettant en cause de logiciel espion israélien Pegasus, conçu pour surveiller de potentiels terroristes mais qui a en réalité été utilisé par plusieurs états contre des opposants politiques, des journalistes, etc. Pour accéder au téléphone d’une personne ciblée, il ne suffisait en fait que d’un numéro de téléphone ; la base de données des Facebook Leaks est donc un réservoir potentiellement très puissant pour les agences de renseignement. C’est a priori la menace la plus importante à laquelle peuvent avoir à faire face des personnalités publiques et/ou menacée par des groupes puissants (états, organisations privées, etc.) ; leur surveillance complète via leur téléphone portable, sans qu’ils ne le sachent.
L’information, ici le numéro de téléphone, peut être considérée (selon la conception stratégique de Huyghe) comme une “arme offensive”, visant à “provoquer un dommage chez l’adversaire”. Dans le cas présent, le fait de détenir ces numéros de téléphone et de s’en servir comme une “arme” permet de s’en prendre à son adversaire et plus particulièrement “au fonctionnement de son système d’information”.
En réalité la finalité de cette information n’est pas d’empêcher le fonctionnement d’une ligne téléphonique ou d’un téléphone portable, bien au contraire. Le numéro de téléphone (relié à l’identité d’une cible) est en fait une “ressource rare” : par ce biais on va pouvoir “par exemple connaître ses forces et ses plans tandis qu’il ignore tout des nôtres, ou être au courant d’un événement qui risque de changer les conditions de l’affrontement ou de la compétition. Il s’agit donc de se renseigner (de veiller)”.
François-Bernard Huyghe reprend d’ailleurs “les quatre arts martiaux de l’informations” avec notamment la “stratégie d’acquisition”, qui consiste en l’”art de voir”, “trouver une information vraie sur l’environnement, l’ennemi ou la proie”.
Limiter les dégâts par la communication autour des Facebook Leaks
Ce qui a été fait lors des Facebook Leaks
Le Règlement Général sur la Protection des Données (RGPD) “détaille deux signalements différents obligatoires” dispose par ses articles 33 et 34 qu’”En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétence” mais également que “Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais”. Un règlement auquel Facebook s’est engagé à le respecter.
Numerama rapportait en avril 2021 que “Facebook n’a pas communiqué cette violation de données à caractère personnel à la DPC irlandaise” (l’équivalent de la Cnil en France, avec laquelle Facebook devait communiquer, son siège social européen étant situé en Irlande). Selon le groupe, les numéros de téléphone avaient été dérobés avant l’entrée en vigueur du RGPD. Par ailleurs, le réseau social n’a pas prévenu “ses utilisateurs européens concernés par cette aspiration de leurs numéros de téléphone”. Là où Facebook contourne le RGPD, c’est en déclarant au Monde ne pas l’avoir fait “car ces données ne proviennent pas selon eux d’un piratage et correspondent à des informations publiques”.
Facebook aurait dû être plus transparent sur la fuite des numéros de téléphone
Les numéros de téléphone collectés ont pu servir à des personnes malintentionnées pour surveiller et/ou tromper des membres sur réseau social. Le problème avec Facebook, c’est qu’en n’étant pas assez transparent au sujet de la fuite – ce qui n’améliore en rien sa situation – il permet à ces personnes d’utiliser plus facilement ces données.
En prévenant ses utilisateurs ainsi que les autorités publiques relatives aux questions des données et de la vie privée, cela aurait pu permettre à chacun de s’informer sur les risques encourus. Pour les personnes qui, pour une raison ou une autre, pourraient être mises “sur écoute” par le biais du logiciel Pegasus, auraient pu prendre des mesures de sécurité supplémentaires.
Heureusement, des initiatives ont été mises en place pour informer les membres du réseau social dont les informations se seraient potentiellement retrouvées dans la nature. Afin de répondre à ce besoin, des initiatives “citoyennes” privées se sont mises en place. Il y a par exemple eu le site Have I Been Pwned fondé par Troy Hunt, qui a permis de rentrer son numéro de téléphone pour savoir si l’on était concerné. En France, l’entreprise “Je te vois”, spécialisée dans le traitement de données avait mis à disposition un site Internet pour les numéros français.
Cependant à l’époque la Cnil a conseillé “de ne pas télécharger ou consulter de fichier comportant ces informations, même s’il est gratuit ou facilement accessible”. En effet, selon la commission nationale, “la visite de sites web hébergeant de tels fichiers peut comporter des risques”, “des personnes malveillantes peuvent vous demander d’éventuelles contreparties financières”, “le téléchargement d’un tel fichier […] est illégal” et “de tel fichiers présents sur le web peuvent contenir des programmes malveillants”. La Cnil avait alors conclu qu’il fallait partir du principe que chaque utilisateur français disposant d’un compte Facebook entre 2016 et 2019 était à considérer comme “concerné par cette fuite de données”.
Si la Cnil peut légitimement remettre en cause ces initiatives privées sur plusieurs points, elle n’apporte malheureusement pas de solution ; c’est ce qu’on avait pu constater quelques mois avant à propos d’une fuite de données de patients français en février 2021. L’avocate spécialisée en droit du numérique et de la cybersécurité Sabine Marcellin avait déclaré à Numerama que “Un acteur public pourrait créer ce genre d’outil, car il aurait une légitimité à traiter les données” et que “Ce sont les seuls acteurs qui pourraient se permettre de faire l’intermédiaire entre les données volées et les victimes”.
Pour continuer sur la limitation des conséquences de cette fuite, la Cnil avait conseillé de modifier son mot de passe, de vérifier les informations que détient Facebook sur soi, de supprimer les informations qui ne nous paraissent pas utiles sur les réseaux sociaux (notamment les informations sensibles) ainsi qu’avertir et accompagner les personnes de notre entourage “maîtrisant peu les réseaux sociaux”.
Facebook Leaks : que retenir ?
On ne change pas un numéro de téléphone régulièrement et même plusieurs années après la collecte de ces données par des hackers, ces dernières sont probablement en grande partie toujours d’actualité. Même un an après la publication des Facebook Leaks et de cette base de données, les numéros de téléphone sont probablement toujours utilisés. Cependant, protéger les utilisateurs de Facebook, de la part de Facebook lui-même mais aussi des autorités publiques est primordial pour garantir leur sécurité. En effet, ils pourraient être (et ont peut-être été) victimes de tentatives de piratage via leur téléphone mais aussi de surveillance discrète comme nous l’avons vu avec Pegasus. Parmi les solutions visant à contre-carrer ces actes, l’information est une des grandes clés. Par les médias, par la Cnil, par les groupes privés du web et parce que le piratage peut arriver à tout moment, la circulation de l’information à propos d’une fuite de données est primordiale : elle permet de former les utilisateurs aux questions de cybersécurité mais aussi de les prévenir des dangers auxquels ils sont potentiellement exposés.
Bibliographie
- 500 millions de numéros fuités : Pourquoi Facebook n’a prévenu personne ? (2021, avril 7). Numerama. https://www.numerama.com/tech/702005-500-millions-de-numeros-fuites-pourquoi-facebook-na-prevenu-personne.html
- 533 million Facebook users’ phone numbers leaked on hacker forum. (s. d.). BleepingComputer. Consulté 28 avril 2022, à l’adresse https://www.bleepingcomputer.com/news/security/533-million-facebook-users-phone-numbers-leaked-on-hacker-forum/
- CHAPITRE IV – Responsable du traitement et sous-traitant | CNIL. (s. d.). Consulté 28 avril 2022, à l’adresse https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article33
- Comment les hackers ont fait pour aspirer 500 millions de numéros de portable sur Facebook. (2021, avril 7). Numerama. https://www.numerama.com/cyberguerre/702564-comment-les-hackers-ont-fait-pour-aspirer-500-millions-de-numeros-de-portable-sur-facebook.html
- Facebook n’entend pas informer les utilisateurs concernés par la fuite des données de 533 millions de comptes. (s. d.). Consulté 28 avril 2022, à l’adresse https://www.lemonde.fr/pixels/article/2021/04/07/facebook-n-entend-pas-notifier-les-utilisateurs-concernes-par-la-fuite-des-donnees-de-533-millions-de-comptes_6075895_4408996.html
- #FacebookLeaks—Fuite de données Facebook. (s. d.). Consulté 28 avril 2022, à l’adresse https://jetevois.fr/fbleaks
- Frandroid. (2021, avril 9). FACEBOOK : Votre NUMÉRO de téléphone a FUITÉ ?! Quels sont les dangers et comment se PROTÉGER ? https://www.youtube.com/watch?v=gd6r8c6Bgvk
- Fuite des numéros de 20 millions de Français depuis Facebook : Tout ce qu’il faut savoir. (2021, avril 4). Numerama. https://www.numerama.com/cyberguerre/701839-fuite-des-numeros-de-20-millions-de-francais-depuis-facebook-ce-quil-faut-savoir.html
- Fuite Facebook : Comment savoir si votre numéro de téléphone est concerné ? (2021, avril 6). Numerama. https://www.numerama.com/cyberguerre/702152-fuite-facebook-comment-savoir-si-mon-numero-de-telephone-est-concerne.html
- INHESJ : Infostratégies. (2010, décembre 12). Le site de François-Bernard Huyghe. https://huyghe.fr/2010/12/12/inhesj-infostrategies/
- Les nouvelles formes de la désinformation. (2007, décembre 5). Le site de François-Bernard Huyghe. https://huyghe.fr/2007/12/05/les-nouvelles-formes-de-la-desinformation/
- « Projet Pegasus » : Révélations sur un système mondial d’espionnage de téléphones. (2021, juillet 18). Le Monde.fr. https://www.lemonde.fr/projet-pegasus/article/2021/07/18/projet-pegasus-revelations-sur-un-systeme-mondial-d-espionnage-de-telephones_6088652_6088648.html