Un serveur contenant les numéros de téléphone et identifiants Facebook de 419 millions d’utilisateurs a été retrouvé en ligne sans protection. Celui-ci a depuis été déconnecté.

Pour Facebook, l’annonce d’un incident impliquant des données personnelles est presque devenu un rituel. Cette fois-ci, ce sont des bases de données qui se sont malencontreusement retrouvées accessibles en ligne. Le serveur qui les hébergeait n’était pas protégé par un mot de passe, et tout internaute pouvait donc s’y rendre. C’est un total de 419 millions d’entrées sur des utilisateurs Facebook qui se sont retrouvées à l’air libre, dont 133 millions d’Américains, 50 millions de Vietnamiens et 18 millions de Britanniques. L’hébergeur internet a depuis déconnecté le serveur.

Les données semblent avoir été mises en ligne fin août, et l’identité du propriétaire du serveur n’est pas connue. Chaque entrée listait l’identifiant Facebook de la personne et son numéro de téléphone. Elle inclut aussi parfois son nom, son genre et son pays de résidence. L’identifiant Facebook en question est un nombre unique publiquement associé à chaque compte, et qui permet aisément de retrouver ce dernier.

Des données d’avant avril 2018 ?

« Cet ensemble de données est ancien. Il semble contenir de l’information obtenue avant nos modifications de l’année dernière pour retirer aux gens la possibilité de trouver d’autre personnes en utilisant leur numéros de téléphone », déclare à TechCrunch un porte-parole de Facebook. En avril 2018, la plateforme avait supprimé cette fonctionnalité considérée comme intrusive. Aujourd’hui, « l’ensemble de données a été enlevé et nous n’avons trouvé aucune indication que des comptes Facebook ont été compromis ».

Le numéro de téléphone est une information personnelle particulièrement sensible. Un attaquant peut s’en servir pour usurper une carte SIM, passer outre les procédures d’authentification à deux facteurs (2FA) et de récupération de compte, et potentiellement prendre le contrôle de l’identité numérique de la personne. Une telle mésaventure est arrivée rien que le weekend dernier au patron de Twitter, Jack Dorsey, lorsque des pirates sont parvenus à tweeter depuis son compte.