Faille de sécurité chez Facebook

 

Il n’y a pas longtemps, je vous parlais de la future fermeture définitive de Google+ (le réseau social d’Alphabet) justifiée par une sécurité défaillante. Facebook a également eu une faille de sécurité similaire en septembre 2017.
Nous en savons plus depuis l’annonce de Facebook du 12 octobre 2018.

Combien de comptes ont été piratés ?

Contrairement, aux informations publiées précédemment par facebook, ce ne sont pas 50 mais (seulement ) 29 millions de comptes qui ont vu leurs données s’échapper dans la nature.

Quelles étaient les données disponibles aux pirates ?

Le nom d’utilisateur, le genre, la langue, le numéro de téléphone, l’e-mail, le statut marital, la religion, la ville d’origine, la ville actuelle, la date de naissance, les données sur les établissements scolaires et sur le lieu de travail, les données de géolocalisation … Bref, toutes les données privées que vous aviez renseignées ou collectées par le réseau social.

Comment les « pirates » se sont procuré les données ?

Les données privées des utilisateurs étaient disponibles via l’outil « Aperçu du profil en tant que…. » qui était disponible sur votre profil.
Cette fonctionnalité est aujourd’hui désactivée par facebook.

Pourquoi les pirates récupèrent ils ces données ?

Les pirates n’ayant pas été identifiés, leur intention est incertaine. Il peut s’agir de collecter des informations à des fins publicitaires ou politiques. Par exemple pour influencer des personnes lors d’élections. Les données collectées en masse peuvent servir pour avoir une cartographie et des statistiques précises sur une population.
Ces données peuvent également servir pour « profiler » et savoir comment « attaquer » une personne. Il est beaucoup plus facile de créer des mails frauduleux à des fins hameçonnage lorsque le profil de la personne est connu.
A titre individuel, souvent pour des personnes ayant des responsabilités mais pas seulement, ces données peuvent servir à faire « chanter » ou réclamer une rançon en menaçant de divulguer certaines informations.
Enfin, les mots de passes des utilisateurs sont souvent une combinaison liée à leurs données privées, les connaître facilite les attaques.

Comment savoir si mes données ont été usurpées ?

Facebook a créé une page qui permet de savoir si vos données ont été récupérées par les pirates.  Vous trouverez le lien ici.  Vous devez au préalable être connecté sur votre compte facebook. La page est anglophone. faites défiler la page jusqu’à la question suivante :
Is my Facebook account impacted by this security issue?

D’après facebook, vos données n’ont pas été récupérées, si la réponse est la suivante :
Based on what we’ve learned so far, your Facebook account has not been impacted by this security incident. If we find more Facebook accounts were impacted, we will reset their access tokens and notify those accounts.

J’ai été victime des pirates que dois-je faire ?

Que vous aillez été victime ou non, commencez à vous demander s’il est nécessaire de saisir toutes ces informations sur votre réseau social. Si ce n’est pas le cas, supprimez ces informations.
Vérifier toujours les mails et courriers que vous recevez afin d’identifier s’il s’agit d’hameçonnage.  En cas de doute, ne suivez pas les liens qui vous sont proposez. Si on vous contacte par téléphone, commencer par vérifier l’identité de votre interlocuteur, par exemple, en lui demandant ses propres coordonnées.