Facebook trouve les fuites de données « normales », selon un email en fuite

Un e-mail interne de Facebook, envoyé accidentellement à Data News, basé en Belgique, a révélé sa stratégie pour faire face à la fuite des détails de compte de 533 millions d’utilisateurs. Cela suggère que le réseau social s’attendait à des d’incidents de ce type et considère ces situations comme normales.

Des dires confirmés par Facebook

Facebook a confirmé que le mémo était authentique. L’entreprise a ensuite déclaré à la BBC : « Nous comprenons les préoccupations des gens, c’est pourquoi nous continuons à renforcer nos systèmes pour rendre plus difficile le grattage de données sans notre permission sur Facebook, et de poursuivre les auteurs. ». Plus tard, un porte-parole de Facebook a ajouté que LinkedIn et Clubhouse avaient également été confrontés à des problèmes de web scraping (grattage de données).

Les données de 533 millions de personnes dans 106 pays ont été publiées sur un forum de piratage au début du mois. Facebook a déclaré que les données étaient anciennes et qu’il s’agit d’une fuite signalée en 2019. L’entreprise a nié tout acte répréhensible, affirmant que les données avaient été extraites d’informations disponibles publiquement sur le site.

UE : Facebook au cœur d’une enquête

Facebook fait actuellement l’objet d’une enquête du commissaire irlandais aux données pour vérifier sa conformité au RGPD. La société est aussi poursuivie par des citoyens de l’UE qui l’accusent de négligence sur la sécurité face à la fuite des données personnelles qui contiennent des informations sensibles comme le nom et le numéro de téléphone des utilisateurs.

L’email publié par Data News déclaré que, la couverture médiatique des médias de premier plan sur la question des fuites de données avait déjà diminué de 30%. Cette publication a fait l’objet de nombreuses interprétations et a suscité de vives critiques. Certains blâment Facebook pour ses explications évasives et l’absence d’excuses envers les victimes

En effet, Facebook a déclaré qu’il s’attendait déjà à des incidents de cette nature. L’entreprise souligne également qu’il s’agit d’un problème récurrent, presque  « normal ». Pour plus de transparence, Facebook publierait un article qui détaillerait comment l’entreprise compte traiter le problème.

Des réactions qui soulèvent des doutes

Data News remet en question l’affirmation de Facebook selon laquelle le problème avait été découvert et résolu en août 2019, soulignant que le hacker éthique Inti De Ceukelaire avait averti l’entreprise deux ans plus tôt qu’il était possible de trouver le numéro de téléphone de quelqu’un via Facebook. 

Au début, Facebook n’a émis aucun commentaire et n’a donné aucune explication. Lorsque la fuite de données a été révélée, l’entreprise a utilisé l’ancienneté des données comme excuses. Voyant que cela ne fonctionnait pas, les responsables de chez Facebook ont commencé à parler de grattage et n’ont jamais évoqué la moindre faille au sein de son système

Que faire en tant qu’utilisateur ? Le conseil d’un expert

Comment réagir face à ces révélations sur Facebook ? Faut-il s’insurger ? Ou faut-il au contraire se concentrer sur la protection de ses propres données personnelles ? Pour Arthur Bataille, CEO et fondateur de Seela, membre fondateur de F.I.R.S.T et membre de la CyberTaskForce, il n’y a plus de place pour le doute :

 » Le point est clair : la perméabilité des systèmes n’est plus à démontrer et une sécurisation absolue n’est qu’une utopie dans l’univers de l’IT. Les GAFAM dont le modèle économique dépend principalement de la donnée (que ce soit en commercialisation directe ou indirecte), sont les plus vulnérables aux attaques et actes de malveillance.

Il y a encore quelques mois, les entreprises pouvaient se poser la question du QUAND : Quand serons-nous victime d’une cyber attaque ? Quand devrons-nous gérer une fuite d’informations ? Quand devons-nous réfléchir à une politique de sécurité ?

Mais lorsque l’on parle d’un monde ouvert, de moyens de plus en plus Cloud, de nouvelles technologies d’acquisition,… on augmente drastiquement sa surface d’exposition à ces menaces. Le QUAND n’a ainsi plus sa place et devient une équation économique. Quel coût pour mon modèle, pour ma productivité, pour maintenir les systèmes en conditions de sécurité… ?

A ce niveau, la conséquence d’une attaque ne se mesure plus comme un enjeu capital de l’entreprise mais comme un enjeu marketing : le préjudice médiatique de cette faille sera-t-il significatif ?

En cela, Facebook a raison : le traitement médiatique aujourd’hui est puissant car nous sommes au début d’une nouvelle ère. Mais ce qui était caché par le passé est aujourd’hui mis à nu par la force médiatique, et surtout, par la capacité des systèmes et des techniques à identifier ces fuites. De précédentes fuites sont survenues par le passé mais potentiellement jamais identifiées.

Ainsi, il ne s’agit plus de s’insurger contre cette politique interne et stratégie de Facebook : elle n’a jamais changé. Notre enjeu est d’assurer, en tant qu’utilisateur, notre hygiène numérique et de cloisonner au maximum ce que nous concevons comme de la donnée privée.

Les entreprises utilisatrices des services, et dont la survie économique dépend de leur capacité à garantir la souveraineté de leurs données, n’ont pas les mêmes défis. Et les entreprises sont dans l’obligation de maintenir des niveaux de sécurité suffisants pour garantir que leurs informations essentielles ne puissent pas sortir de leur champ de contrôle.

Quid de Facebook et de la fuite de ce mail ? Je leur conseillerai bien une formation Cyber pour leurs équipes ! « 

Pin It on Pinterest