Facebook est une nouvelle fois épinglé pour avoir laissé fuiter des millions de données de ses utilisateurs. Plus de 540 millions d’enregistrements étaient en effet stockés dans le Cloud par des développeurs utilisant les API Facebook, sans aucune protection, contrainte d’accès, ni mot de passe.
Norman Girard, Directeur Europe de Varonis, spécialiste de la gouvernance et de la sécurité des données, commente cette nouvelle révélation liée aux données d’utilisateurs Facebook. Pour lui, même si Facebook et les développeurs d’applications sont évidemment responsables des données personnelles des utilisateurs du réseau social, « les utilisateurs doivent également une bonne fois pour toute prendre conscience que leurs données ne sont absolument pas protégées sur les réseaux sociaux et comprendre que pour les garder privées, il suffit de ne pas les partager…» :
« La confiance des consommateurs envers Facebook s’effrite progressivement et c’est tout à fait compréhensible. Facebook prend l’eau de toutes parts. Depuis Cambridge Analytica, les affaires se sont multipliées mais l’un des principaux problèmes demeure : le réseau social – cela ne vaut pas uniquement pour Facebook – expose les données de ses utilisateurs aux développeurs d’applications, c’est à dire un énorme écosystème qui inclut malheureusement des personnes malveillantes ou qui ne s’embarrassent pas de problématiques de sécurité… Protéger une base de données dans le Cloud n’est pas compliqué, cette affaire démontre bien que la sécurité des données n’est pas une préoccupation pour tout le monde.
Mais ce qui doit nous préoccuper, ce sont les victimes réelles : les consommateurs. Nous avons parfois l’impression que les failles de données deviennent banales, et que beaucoup de consommateurs ne réalisent pas totalement les dangers qu’elles représentent pour eux. Aujourd’hui, tout le monde a l’habitude de se faire voler ses emails, ses identifiants de compte en ligne, ses mots de passe – en tant que consommateurs, nous avons pris conscience que ces emails sont potentiellement récupérés pour les cybercriminels. Nous changeons nos mots de passe et nous passons à autre chose. Mais ce qui est vraiment effrayant à propos de cette faille Facebook, c’est que les attaquants ont maintenant à leur disposition de nombreux renseignements personnels sur les gens – sur leurs contacts, les endroits où ils vont, leurs antécédents scolaires, les membres de leur famille, etc.
Cette faille ne consiste pas seulement en la fuite d’un nom d’utilisateur et un mot de passe. Cette fois, c’est personnel – cela touche tout ce que les gens veulent protéger et garder pour eux. Ces informations mises bout à bout permettent de connaître réellement une personne. Et ces informations-là ne peuvent être changées et de ce fait les criminels disposent alors des antécédents nécessaires pour deviner les mots de passe, les réponses aux questions secrètes, et bien plus encore. Pour résumer, plus les cybercriminels ont accès à un contexte, plus ils deviennent intelligents.
Est-ce que cela signifie pour autant que nous ne devrions plus utiliser Facebook et d’autres applications de réseaux sociaux ? Peut-être. Mais la réalité est que si l’on ne se déconnecte pas du réseau, et qu’on ne ferme pas son compte, il y aura toujours des informations personnelles qui seront recueillies et éventuellement divulguées. Quitter Facebook n’empêchera pour autant pas la fuite de ses données…
Si l’on ne souhaite pas que les photos de son téléphone soient rendues publiques, il faut malheureusement prendre beaucoup de dispositions : ne pas connecter son téléphone à iCloud, ne pas avoir l’application Facebook active sur son téléphone, etc. Encore une fois Facebook n’est pas la cause de tous les risques, le problème vient souvent des applications liées comme dans cette nouvelle affaire. Sans nécessairement supprimer Facebook, le plus simple tient souvent dans le fait de ne pas publier de contenus, que l’on ne souhaite pas partager avec le monde entier. »
Ci-dessous, un commentaire d’Hippolyte Fouque, directeur Directeur Commercial chez Darktrace, concernant la récente atteinte à la protection des données sur Facebook, qui a entraîné l’exposition de 540 millions de dossiers d’utilisateurs, y compris les ID Facebook et les noms de comptes, sur les serveurs publics :
« Un an après le scandale Cambridge Analytica, des millions de sets de données Facebook ont encore une fois été exposés. Les consommateurs redoutent à nouveau que les géants de la Tech auxquels nous faisons confiance tous les jours ne soient pas encore suffisamment regardants sur le traitement de nos données et leur partage à des acteurs tiers. Alors que la richesse des données de Facebook lui a permis de devenir l’entreprise historique qu’elle est, l’échec de la protection de ces données sera inévitablement sa perte.
Ce partage par inadvertance des données des utilisateurs est probablement dû à une mauvaise configuration. Il souligne également les défis liés à la sécurité du cloud et au manque de visibilité des organisations sur les parties virtuelles de leur infrastructure. Les cyberdéfenses pilotées par l’IA fonctionnent sur toute la largeur d’un réseau et sont capables de parcourir des quantités colossales de données et des lignes de code, afin de déterminer de manière intelligente lorsque les données sensibles se trouvent quelque part où elles ne devraient pas se trouver. Ces types de défenses seront essentiels pour éviter des failles majeures de protection de nos données.
Les entreprises modernes sont des ruches d’interconnectivité et plus elles deviennent complexes, plus il y a de risques de sécurité. Nous nous tournons vers les grandes entreprises du numérique pour les meilleures pratiques en matière de sécurité. Il leur incombe d’introduire des changements, et ce, dans les meilleurs délais. »