Actualités

Facebook n’entend pas notifier les utilisateurs concernés par la fuite des données de 533 millions de comptes

En Europe, le gendarme de la protection des données a contacté Facebook pour demander des précisions sur cette fuite.

La pression continue de monter pour Facebook, moins d’une semaine après la diffusion en ligne d’une base de données massive contenant les numéros de téléphone associés à plusieurs centaines de millions d’utilisateurs. Samedi 3 avril, un internaute a publié quasi gratuitement, sur un forum régulièrement fréquenté par des cybercriminels, une base de données contenant les informations liées à plus de 533 millions de comptes Facebook. Parmi ces informations, on trouvait notamment le statut marital, l’activité professionnelle et le numéro de téléphone qui avait été enregistré sur la plate-forme.

L’analyse par plusieurs chercheurs et médias du set de données qui circule aujourd’hui a montré que tous ces numéros de téléphone avaient été collectés en 2019 au plus tard – une chronologie confirmée par Facebook, qui estime que l’acquisition de ces informations liées à 533 millions de comptes avait eu lieu avant septembre 2019.

Quatre jours plus tard, le réseau social n’a pas notifié les utilisateurs dont certaines informations ont été collectées et diffusées librement. Interrogé par Le Monde à ce sujet, Facebook a expliqué, mercredi 7 avril, ne pas avoir l’intention de prévenir les internautes concernés, car ces données ne proviennent pas selon eux d’un piratage et correspondent à des « informations publiques ».

Lire aussi Cinq questions sur la fuite de données concernant plus de 533 millions de comptes Facebook

Une utilisation frauduleuse d’une fonctionnalité

Pour comprendre cette affirmation de l’entreprise américaine, il faut expliquer comment ces données ont été récupérées : en exploitant une fonctionnalité du réseau social, qui permettait, sur l’application mobile, d’importer son carnet d’adresse pour trouver ses connaissances sur Facebook.

Facebook avait apporté des correctifs pour empêcher des collectes massives de ce type

Selon l’entreprise, certains acteurs ont réussi à détourner cet outil en important une très grande quantité de numéros pour voir lesquels correspondaient à un profil Facebook. A partir de là, ils pouvaient également collecter les informations disponibles publiquement sur ces profils, en fonction des paramètres de confidentialité utilisés. Après avoir découvert cette exploitation de la fonctionnalité, Facebook a apporté des correctifs pour empêcher des collectes massives de ce type. S’il n’y a pas eu – selon l’entreprise – de piratage, c’est-à-dire d’intrusion sur les serveurs de Facebook, il y a bien eu une utilisation frauduleuse et détournée à une échelle massive des outils du réseau social.

Ces données étaient-elles publiques, comme Facebook l’affirme, ou privées ? Là encore, la nuance est subtile. Aujourd’hui, il est possible de désactiver l’option permettant à des personnes disposant de votre numéro dans leur carnet d’adresse de vous trouver sur Facebook. Mais en mars 2019, selon le site spécialisé TechCrunch, cette fonctionnalité était, par défaut, ouverte « à tout le monde ».

La « CNIL » irlandaise a contacté Facebook

Les mots utilisés, tout comme la réaction de Facebook, seront importants pour les gendarmes européens de la protection des données, qui surveillent les atteintes à la vie privée des citoyens. Le règlement général de protection des données (RGPD) entré en vigueur en mai 2018 dans l’Union européenne impose aux entreprises qui constatent des violations des données personnelles de les signaler sous soixante-douze heures, sous peine de sanctions financières allant jusqu’à 20 millions d’euros, ou 4 % du chiffre d’affaires de l’entreprise l’année précédent l’amende.

Or, dans un communiqué, la Data protection commission (DPC), l’équivalent de la CNIL en Irlande, cheffe de file des centres de protection des données en Europe, a expliqué ne pas avoir été proactivement contactée par Facebook après la diffusion en ligne du fichier de 533 millions de comptes Facebook. Contactée, l’entreprise a finalement expliqué au régulateur que les données semblaient avoir été collectées « avant des changements apportés à la plate-forme en 2018 et en 2019 ».

En France, la CNIL a affirmé mercredi qu’elle travaillera en coopération avec la DPC pour établir les circonstances de cette collecte de données. « Les mesures prises par Facebook concernant cette violation seront examinées, notamment l’éventuelle communication directe aux personnes concernées par la fuite, ainsi que les mesures de sécurité mises en œuvre avant et après cette fuite, pour réduire les risques pour les personnes concernées », a ajouté la commission dans un communiqué.

Lire aussi Comprendre le RGPD, le nouveau règlement de protection des données, en cinq questions
Click to comment

You must be logged in to post a comment Login

Leave a Reply

Most Popular

Retrouvez toute l'actualité française et internationale sur France Actus.

© 2020 FRANCE ACTUS - TOUS DROITS RÉSERVÉS

To Top