Maintenant, tout le monde est curieux de savoir si un collègue ou un voisin s’est retrouvé dans la base de données volée à Facebook. Grâce à l’initiative de deux jeunes Italiens, il est désormais possible de taper dans un masque de recherche un numéro de téléphone portable et de le relier au nom et au prénom de son propriétaire. Mais cela ne peut se faire. L’Autorité pour la protection des données personnelles vient d’adopter une mesure d’avertissement à l’égard de tous ceux qui proposent le service de recherche de données volées sur Facebook et leur rappelle que “toute autre utilisation illicite de ces données, comme le télémarketing et le “stalking” politique, est interdite”. Bien que les deux jeunes hommes aient écrit sur Twitter qu’ils avaient “masqué” les numéros de téléphone utilisés pour effectuer la recherche.
Le projet s’appelle HaveIBeenFacebooked ? et fait référence au plus célèbre HaveIbeenPwned ? de Troy Hunt, qui dans le jargon des jeux vidéo en ligne indique une défaite (dans ce cas pour la compromission de données personnelles). L’initiative, qui est apparue immédiatement douteuse, pourrait cependant sembler très utile aux utilisateurs de Facebook puisque dans la base de données volée de 533 millions d’enregistrements sur laquelle elle pêche, il devrait y avoir plus de 30 millions liés à des utilisateurs italiens, presque tous ceux qui se sont inscrits sur la plateforme et ont complété leurs données personnelles avec un numéro de téléphone mobile à utiliser aussi bien pour l’accès que pour la récupération des identifiants en cas de perte.
Savoir si son propre téléphone s’y trouve avec d’autres données personnelles pourrait être utile pour décider d’élever le niveau d’alerte face à des actes de malveillance, des tentatives de fraude, des actions de harcèlement utilisant un numéro de téléphone au point de prendre la place d’un utilisateur dont le nom, le prénom et le téléphone sont connus, le plus grand danger. C’est le cas du “SIM swapping”. Il s’agit d’une technique d’attaque qui permet d’accéder au numéro de téléphone du propriétaire légitime et de violer certains types de services en ligne qui utilisent le numéro de téléphone comme système d’authentification, comme l’avait déjà écrit la Repubblica.
L’idée des deux Italiens, Fumaz et Marco Aceti, n’est pas unique ou nouvelle. Il existe en effet d’autres initiatives similaires à HaveIBeenFacebooked ?, et notamment celle de l’anglais HaveIbeenZucked ? qui, toutefois, permet également de faire des recherches sur le nom, le prénom et l’email. Mais les données consultables dans les deux plateformes différentes ne sont pas les mêmes. Et le risque reste élevé qu’en effectuant une recherche sur ces services, vous offriez des données sensibles à des inconnus.
Et en fait, l’intervention du garant italien de la vie privée ne s’est pas fait attendre. Dans les prochains jours, le conseil présidé par le professeur Pasquale Stanzione demandera à Facebook de lancer un service d’assistance pour aider les utilisateurs à vérifier s’ils ont été touchés par la violation de leurs données personnelles.
Comment fonctionne le moteur de recherche
Si vous entrez un numéro qui n’est pas présent dans le masque de recherche du site italien, le système se bloque et vous laisse attendre une réponse qui n’arrive pas. Mais si vous êtes “in”, le système renvoie également les initiales du prénom et du nom, puis un avertissement apparaît : “Votre profil Facebook a été piraté. Votre numéro de téléphone a été trouvé parmi ceux volés dans la brèche. Connecté à votre numéro de téléphone, nous avons identifié les données personnelles suivantes.” Plus loin, on peut lire le conseil suivant : “Cette violation de données pourrait également être utilisée à des fins de traque et de harcèlement personnel. Si vous pensez être en danger, envisagez de changer votre numéro de téléphone.”
Mais avant l’intervention du Garante, l’avocat Enrico Ferraris, spécialiste de la protection de la vie privée, nous avait déclaré : “Sans vouloir mettre en doute la bonne foi des développeurs, il me semble qu’ils n’ont pas prêté une attention suffisante aux implications du site en termes de protection des données personnelles. On ne sait pas comment les données (numéros de téléphone) saisies par l’utilisateur sont traitées, sur quelle base, à quelles fins, où elles sont stockées et pendant combien de temps, car il n’existe pas de politique de confidentialité. Quant aux données avec lesquelles la comparaison est faite (c’est-à-dire celles de la compilation qui a fuité), le fait qu’elles aient été illégalement rendues publiques ne légitime pas un traitement, qui doit de toute façon être fondé sur l’une des bases juridiques prévues par la loi européenne sur la vie privée, le GDPR.”
La base de données, auparavant payante, devient gratuite en avril
Nous ne savons pas si HaveIBeenFacebooked ? pêche dans la même base de données qui circule maintenant gratuitement sur plusieurs forums. En effet, comme le rapportait la Repubblica il y a deux mois, le dump global (comme ils appellent dans le jargon la copie des données empilées dans la base de données) qui avant était de 370 millions d’enregistrements et ensuite de 533, aurait maintenant atteint la monstruosité de 686 millions d’enregistrements. L’autre nouvelle est que la base de données a été mise à disposition gratuitement pendant quelques heures et non plus de manière payante, sur le même site qui avait initialement publié la compilation des profils.
Au début de l’année, chaque fiche pouvait être achetée pour environ 20 dollars, mais de manière privée, en utilisant même un chatbot pour négocier la “marchandise” : vous pouviez acheter le profil Facebook unique de la femme, de l’amant, de l’ami, du patron, avec le nom, le prénom, l’emploi, la localisation géographique et l’appartenance à des groupes Facebook.
Ce qui peut arriver maintenant
Le problème est que la base de données, de tailles différentes, a été publiée sur de nombreuses plateformes en ligne. Et désormais, tout le monde pourra le faire, et pas seulement les cybercriminels qui vendent généralement des données volées pour gagner de l’argent. Dans le passé, le don de données volées servait à accroître la réputation du détaillant individuel lorsque les informations avaient déjà été exploitées pour des actions de phishing, à renforcer les liens de collaboration, mais aussi à tromper la police, en polluant les traces qui pourraient permettre de retrouver les premiers auteurs de l’exfiltration. Oui, car, comme l’a noté l’avocat Enrico Ferraris, il ne s’agit pas d’une véritable violation de données, mais d’une collecte (harvesting) de données qui a exploité une fonction non intentionnelle du logiciel de Facebook. Et qui a déclaré à plusieurs reprises qu’il avait déjà résolu le problème dès 2019.
La responsabilité de Facebook
Par conséquent, comme l’explique Ferraris : “Du point de vue de la protection de la vie privée dès la conception, il serait intéressant de comprendre si les mesures de sécurité mises en œuvre par Facebook pour éviter l’indexation massive des données par l’énumération des numéros de téléphone mobile étaient adéquates”. Tout cela n’explique toujours pas pourquoi nous sommes passés de 533 millions d’enregistrements à 686. Nous pouvons supposer qu’une base de données volée, une fois qu’elle s’est retrouvée sur le marché noir des données, peut être réduite ou étendue pour donner l’idée qu’elle est nouvelle et différente et continuer à la revendre ou à l’échanger.
Mais les données volées ne sont pas dans le DarkWeb.
Le fait est que toutes ces bases de données volées sont comme des pommes sur l’arbre : elles n’attendent que d’être cueillies. Le forum de “hackers” où la base de données volée à Facebook a été annoncée et initialement mise en vente ne se trouve pas dans le DarkWeb comme on pourrait le penser, mais à l’intérieur d’un site normal hébergé dans le ClearWeb, le web non crypté, et est consultable avec des mots-clés saisis dans un moteur de recherche commun, de Google à Qwant.
En bref, le problème est ancien, il n’a pas été résolu et nous devons désormais faire attention à la nature et au nombre d’autres données qui seront associées aux plus de 30 millions de profils. Comme le dit le garant dans sa déclaration “L’Autorité appelle également tous les utilisateurs concernés par la violation à la nécessité de prêter, dans les semaines à venir, une attention particulière à toute anomalie liée aux utilisateurs de leur téléphone : comme, par exemple, l’absence soudaine de champ dans des endroits où le téléphone a normalement une bonne réception. Un tel événement pourrait être le signe qu’un criminel a pris possession de notre numéro de téléphone pour l’utiliser à des fins frauduleuses”.
