Ce que l'on sait de la fuite de données qui concerne 20 millions de comptes Facebook français

C'est une fuite d'envergure. Elle n'est pas nouvelle, mais le nouveau rebondissement dans cette affaire de données compromises chez Facebook la rend d'autant plus redoutable. Depuis le 3 avril, une partie des données personnelles de 533 millions d'utilisateurs de Facebook sont accessibles en ligne. Parmi ces 533 millions de comptes, 19,8 millions sont localisés en France.

Quelles informations ont fuité ?

L'élément principal de ces fuites, ce sont des comptes Facebook associés à des numéros de téléphone. C'est le minimum que l'on peut trouver. Pour certains comptes, on trouve d'autres informations : le genre, la ville de résidence, mais aussi le statut et le métier (pour ceux qui les ont renseignés sur le réseau social). Plus rarement, ils sont aussi associés à l'adresse mail du compte – ou une autre, chaque utilisateur ou utilisatrice pouvant indiquer l'adresse électronique de son choix sur son profil. 

D'où viennent ces données ?

C'est une faille de sécurité qui n'est pas neuve, qui a permis cette fuite massive, selon Facebook : elle date de 2019, et a depuis été réparée – ce qui signifie que les comptes créés après cette date n'ont pas pu être concernés par la fuite de données. 

Mais pourquoi en entend-on parler aujourd'hui ? 

Jusqu'à présent, cette liste de données circulait exclusivement "sous le manteau". Selon un spécialiste en cybersécurité, on a d'abord vu cette liste vendue à prix d'or en ligne, puis, en janvier 2021, sous la forme d'un "bot" sur Telegram, qui permettait, pour beaucoup moins cher, de trouver les données associées à un numéro de téléphone donné. 

Samedi, c'est sur un forum public que la liste complète des données, sous la forme d'un fichier texte, a été diffusée – gratuitement et classée par pays. L'effet boule de neige est tel que des utilisateurs ont récupéré puis téléchargé à leur tour cette liste, rendant sa dissémination plus facile (même s'il n'est pas encore possible d'y accéder par une simple recherche). 

Quels risques représente cette fuite de données ?

Le premier risque – et le plus commun – avec ces milliers de numéros de téléphone échappés dans la nature, c'est que votre numéro, s'il fait partie de la fuite en question, soit visé par des tentatives d'arnaque ou de spam, par téléphone ou par SMS. 

Il y a plus inquiétant (mais aussi plus rare), pour ceux et celles qui auraient, par exemple, renseigné leur vrai nom sur Facebook mais aussi leur adresse de courrier électronique : les numéros de téléphone servant de plus en plus à des doubles authentifications par SMS (pour les services sécurisés), les pirates les plus aguerris peuvent tenter d'en tirer profit pour accéder à des données bien plus sensibles. 

Comment savoir si mes données font partie de cette fuite ?

C'est malheureusement très difficile. Si vous cherchez et que vous vous procurez vous-même cette liste de données, vous vous exposez au risque d'être vous-même dans l'illégalité, puisque vous posséderez des données volées à d'autres utilisateurs. 

Parmi les références, le site Have I Been Pwned ou l'outil Firefox Monitor permettent de faire des recherches pour savoir si vous avez été l'objet d'une fuite de données… mais ils ne fonctionnent qu'à partir d'adresses mail. Votre nom ne remontera donc dans les résultats que si vous aviez aussi indiqué votre adresse e-mail sur votre profil.