Lorsque vous ouvrez un compte sur facebook, vous partagez évidemment vos données avec tous vos amis et contacts, vous les donnez aussi gratuitement à facebook, mais vous les donnez aussi à la planète entière sans presque aucune restriction, y compris aux hackers et aux vrais méchants… Comment faites-vous ? Eh bien, facebook le fait pour vous… grâce à ses énormes fuites de données répétées.
Liste de toutes les fuites de données de facebook
2019 : 309 millions d’utilisateurs en décembre (Hacker au Vietnam)
Facebook a terminé l’année 2019 en beauté lorsqu’une énième base de données a été laissée exposée. Plus de 300 millions de numéros de téléphone, de noms et de logins d’utilisateurs de Facebook ont été laissés sans protection sur le dark web pendant près de deux semaines. L’expert en sécurité Bob Diachenko, qui a découvert la brèche, a rapporté qu’elle était le résultat d’une opération de scraping illégale ou d’un abus de l’API de Facebook par des hackers au Vietnam.
L’estimation des personnes touchées était initialement de 267 millions. Toutefois, en mars 2020, il a été découvert qu’un deuxième serveur contenant 42 millions d’enregistrements supplémentaires avait été exposé par le même groupe criminel, ce qui a porté le total à 309 millions. Encore une fois, on ignore si quelqu’un a été affecté par cette brèche, mais elle a certainement exposé les utilisateurs au spam et au phishing.
2019 : 533 millions d’utilisateurs en avril (Faiblesse de l’outil d’importation de contacts)
Les données volées ont fait surface pour la première fois sur une communauté de pirates informatiques en juin 2020, lorsqu’un membre a commencé à vendre les données Facebook à d’autres membres. Cette fuite se distingue par le fait qu’elle contient des informations sur les membres qui peuvent être extraites des profils publics et des numéros de téléphone mobile privés associés aux comptes.
Les données vendues comprenaient 533 313 128 utilisateurs de Facebook, avec des informations telles que le numéro de téléphone mobile d’un membre, son identifiant Facebook, son nom, son sexe, son lieu de résidence, son statut relationnel, sa profession, sa date de naissance et ses adresses électroniques.
2019 : 1,5 million d’utilisateurs à nouveau en avril (collecte de contacts sans consentement)
En remontant jusqu’en mai 2016, Facebook avait récolté les contacts e-mail de 1,5 million de nouveaux utilisateurs lorsqu’ils ouvraient leur compte. Il n’est pas surprenant que l’entreprise ait fait cela sans le consentement ou la connaissance de ses utilisateurs. Comment cela s’est-il produit ?
Au cours du processus d’inscription, Facebook demandait aux nouveaux utilisateurs de vérifier leur adresse électronique en saisissant leur mot de passe, une pratique largement condamnée par les experts en sécurité. Une fois le mot de passe de l’adresse électronique saisi, ses contacts électroniques étaient automatiquement importés. Facebook n’a pas demandé la permission de le faire et il n’y avait aucun moyen d’arrêter ou d’annuler le processus pendant qu’il se déroulait.
Facebook utilisait ensuite les données collectées pour améliorer les performances des publicités, faire des recommandations d’amis et contribuer à développer le réseau de connexions de Facebook. Facebook a déclaré qu’il n’était pas en mesure de voir le contenu des e-mails, mais le fait de pouvoir voir avec qui vous communiquez constitue tout de même une violation importante de la vie privée. Avec 1,5 million de carnets d’adresses électroniques connectés, Facebook disposait désormais des coordonnées de millions de personnes supplémentaires.
L’entreprise a déclaré qu’elle allait supprimer les listes de contacts email et que personne en dehors de Facebook n’avait accès à ces données.
2019 : 540 millions d’utilisateurs en avril (Fuite Cultura Colectiva au Mexique)
Le printemps 2019 n’a pas été une bonne période pour Facebook. En avril, on a découvert que des centaines de millions de dossiers d’utilisateurs de Facebook se trouvaient sur un serveur public. Oups. Les chercheurs de la société de sécurité UpGuard ont découvert la brèche, et ont contacté la société mexicaine qui hébergeait le serveur, Cultura Colectiva, à plusieurs reprises avant que le serveur ne soit finalement sécurisé des mois plus tard.
Un ensemble de données similaire a également été trouvé pour une application appelée “At the Pool”. Bien que plus petit, ce dernier comprenait des informations particulièrement personnelles, dont 22 000 mots de passe apparemment utilisés pour l’application, plutôt que directement pour Facebook.
On ne sait pas exactement pendant combien de temps les données des utilisateurs ont été exposées, ni si quelqu’un a réussi à tirer parti de la situation. Les données n’ont été rendues privées qu’après que Facebook a été informé de la situation. Bien que Facebook ne soit pas directement responsable de cette violation, elle a certainement ajouté de l’huile sur le feu grandissant.
2019 : 600 millions d’utilisateurs en mars (Stockage non crypté des mots de passe)
La première violation de données de Facebook en 2019 a été importante. En mars, l’expert en cybersécurité Brian Krebs a rapporté que Facebook stockait des centaines de millions de mots de passe d’utilisateurs dans des fichiers en clair. Seuls les employés pouvaient accéder à ces fichiers, mais cela signifie tout de même que les mots de passe des comptes étaient accessibles à plus de 2 000 employés de Facebook. Dans certains cas, les fichiers remontaient jusqu’en 2012. Facebook n’a pas divulgué pourquoi ni comment les mots de passe des utilisateurs avaient été stockés de cette manière.
Un mois plus tard, il a été révélé que des millions d’utilisateurs d’Instagram avaient également été touchés ; leurs mots de passe avaient également été stockés en texte clair. Facebook a réaffirmé que les mots de passe n’avaient pas été compromis ou utilisés de manière inappropriée de quelque manière que ce soit. Le nombre total d’utilisateurs de Facebook et d’Instagram touchés est encore inconnu (Facebook a refusé de commenter), mais il est estimé à au moins 600 millions, bien que le nombre réel soit probablement beaucoup plus élevé.
2018 : 90 millions d’utilisateurs en septembre (Hacked data)
Peu de temps après le scandale Cambridge Analytica, Facebook a connu sa deuxième violation de données. En septembre 2018, il a été annoncé publiquement que des attaquants avaient réussi à avoir accès à quelque part jusqu’à 90 millions de comptes d’utilisateurs. Les attaquants pouvaient voir tout ce qui figurait sur le profil d’un utilisateur. Facebook a également confirmé que les sites tiers auxquels ces utilisateurs se connectaient avec leur compte Facebook pouvaient également être affectés.
Facebook a commencé à enquêter quelques semaines avant l’annonce, lorsqu’il a remarqué des pics inhabituels d’accès aux comptes d’utilisateurs. La situation s’est avérée très complexe et reposait sur trois bogues de plate-forme distincts liés à une fonctionnalité de Facebook qui permet aux gens de voir à quoi ressemble leur profil pour une autre personne. La fonction “Voir en tant que” permet aux utilisateurs de voir à quoi ressemblent leurs paramètres de confidentialité pour une autre personne.
Le premier bogue du système a fait apparaître l’outil de téléchargement de vidéos de Facebook sur la page “Afficher en tant que”. Le deuxième bug a fait que le téléchargeur de vidéos a créé un jeton d’accès (qui vous permet de rester connecté à votre compte Facebook sur un appareil sans avoir à vous connecter à chaque fois) qui a donné aux attaquants les mêmes informations de connexion que l’application mobile Facebook. Enfin, lorsque le téléchargeur de vidéos apparaissait en mode “Afficher en tant que”, il fournissait un code d’accès à la personne recherchée par l’attaquant. La vulnérabilité sur le site existerait depuis juillet 2017.
En réponse, Facebook a déconnecté 90 millions d’utilisateurs sur toutes les plateformes et leur a demandé de se reconnecter et de réinitialiser leur mot de passe. La fonctionnalité “Afficher en tant que” a été temporairement désactivée. Mark Zuckerberg a également annoncé que Facebook allait collaborer avec le FBI pour enquêter sur cette violation.
2018 : 87 millions d’utilisateurs en avril (Cambridge Analytica)
Selon les médias, un chercheur basé au Royaume-Uni aurait collecté les données des utilisateurs de Facebook lorsque seulement 270 000 utilisateurs ont téléchargé une application de quiz psychologique qui demandait l’accès à leurs données personnelles. Le New York Times et l’Observer ont rapporté en mars que les données de 50 millions d’utilisateurs de Facebook avaient été partagées de manière inappropriée.
La firme a récolté des informations privées sur les profils des utilisateurs de Facebook sans leur permission, selon d’anciens employés de Cambridge, des associés et des documents, ce qui en fait l’une des plus grandes fuites de données de l’histoire du réseau social. La brèche a permis à l’entreprise d’exploiter l’activité privée sur les médias sociaux d’une énorme partie de l’électorat américain, développant des techniques qui ont sous-tendu son travail sur la campagne du président Trump en 2016.
2018 : 14 millions d’utilisateurs en mai (messages privés publiés publiquement)
Si vous avez déjà utilisé Facebook, vous savez qu’il existe différents paramètres de confidentialité pour vos publications et votre profil. Vous pouvez choisir de partager ce que vous publiez avec une liste spécifique de personnes, vos amis Facebook ou le monde entier. Cependant, un bug dans le système en mai 2018 a fait que les publications normalement privées de 14 millions d’utilisateurs ont été partagées publiquement à leur insu et sans leur consentement.
Le bug n’a été actif que pendant cinq jours, et Facebook a rapidement ramené toutes les publications à leurs paramètres de confidentialité normaux (c’est-à-dire non publics). Néanmoins, pendant ces quelques jours, ces posts ont été rendus publics, et la vie privée des utilisateurs a été complètement exposée.
2013 : 6 millions d’utilisateurs (informations privées disponibles sans autorisation)
En juin 2013, Facebook a découvert qu’un bug avait exposé les données personnelles de 6 millions d’utilisateurs à des personnes non autorisées pendant plus d’un an. Les numéros de téléphone et les adresses électroniques des utilisateurs étaient exposés, et toute personne connaissant au moins une information de contact ou ayant un certain type de lien avec la personne pouvait accéder aux données.
Le pépin technique aurait commencé en 2012 mais n’a été remarqué qu’en 2013. Facebook a corrigé le bug et a apparemment signalé la violation aux régulateurs et aux personnes concernées par la violation avant de l’annoncer publiquement. Bien que ce ne soit pas la plus grande violation de l’année, elle a marqué le début des problèmes de données de Facebook.
Notre avis
Ce qui ressort clairement de cette liste, c’est que vos données ne sont pas en sécurité sur Facebook. Plus d’un milliard d’enregistrements d’utilisateurs ont été divulgués.
Vous devriez soit supprimer votre compte Facebook, soit au moins supprimer toute information qui pourrait vous nuire. Ne partagez rien que vous ne voulez pas rendre public.
Consultez nos conseils pour vous protéger contre les fuites massives et récurrentes de données sur les réseaux sociaux.
Signaler une nouvelle fuite de données facebook
Nous avons oublié de signaler une fuite de données ? Ajoutez-la dans le commentaire.