Facebook Leaks : le réseau social était au courant de la faille et n'a rien fait plus tôt
Plus de 530 millions d’utilisateurs Facebook se sont récemment retrouvés avec leurs données personnelles dans la nature et cela aurait pu ne jamais arriver. Selon la plateforme qui a finalement reconnu le problème, tout a été résolu en 2019. Mais ce n’est pas l’avis des chercheurs en cybersécurité...
De multiples problèmes déjà soulevés par le passé
"Je suis sûr que d’autres entreprises transpirent aussi maintenant. Ce n’est pas seulement Facebook", explique à Wired Inti De Ceukelaire, un chercheur belge. Dès 2017, il a signalé à Facebook une faille dans son outil d’importation de contenu. Car c’est bien cette fonction qui scanne votre carnet d’adresses pour vous suggérer des personnes que vous connaissez qui est en cause.
Mais elle n’est pas propre au réseau social de Mark Zuckerberg, dont le numéro a également fuité, et à ses différents services comme WhatsApp ou Instagram. De nombreuses plateformes et outils de communication l’utilisent. Celui de Facebook a multiplié les soucis au fil du temps, avec à chaque fois la promesse de correctifs apportés. "C’est un thème récurrent pour Facebook qui, à chaque fois que la croissance est en jeu, réfléchit à deux fois avant de réparer quelque chose au profit de la vie privée de l’utilisateur", ajoute l’expert en cybersécurité.
https://www.youtube.com/watch?v=gd6r8c6Bgvk
Wired rappelle que, dès 2013, Facebook a été alerté par des chercheurs sur des problèmes similaires. En 2012, une fuite de données depuis l’outil "Téléchargez vos données" avait permis à des hackers de récupérer des données personnelles pourtant non référencées par les utilisateurs (numéros de téléphone, mails notamment). Ils avaient par ce biais activé la fonction d’importation de contacts.
En 2018, l’enquête de la Commission à la protection de la vie privée du Canada avait conclu que "Facebook n’avait pas mis en place de garanties appropriées avant la violation pour protéger les informations personnelles des utilisateurs et non-utilisateurs" qui retrouvaient de fait leurs données en tant que contacts piratés.
Pas une vulnérabilité selon Facebook...
Pour Inti De Ceukelaire, le problème est toujours présent. Il est assez simple d’énumérer des numéros de téléphone et d’extraire des informations d’utilisateurs associées via la fonction d’importation de contacts. À l’époque, il avait soumis la faille au programme Bug Bounty de Facebook, mais l’entreprise n’avait pas jugé le problème suffisamment important pour justifier l’obtention d’une récompense, soit la reconnaissance quelque part d’un bug délicat pour le service.
Facebook s’était contenté de répondre que la plateforme pourrait revoir à la baisse le nombre maximum de soumissions d’importation de contacts par un utilisateur --qui aurait ici la forme d’une attaque d’énumération de numéros de téléphone pour trouver des utilisateurs--, mais que ce n’était pas une vulnérabilité. Il avait également pointé du doigt la fonction "Qui peut me rechercher" dans les paramètres de confidentialité qui pouvait possiblement aller en contradiction, et passer outre, la demande de ne pas divulguer certaines informations de profil réservées à l’utilisateur seulement ou à ses amis.
Il a fallu attendre 2019 pour que la plateforme ajoute un paramètre "Seulement moi" dans la fonction "Qui peut me chercher". Mais la fonction par défaut reste "Tout le monde" et il est ainsi toujours possible de renseigner votre adresse e-mail ou votre numéro de téléphone si vous l’avez renseigné pour vous retrouver.
… Mais finalement oui
L’énorme base de données qui a ainsi fuité la semaine passée a donc pu être longuement et simplement préparée. En 2019, le hacker @ZHacker13, qui se présente davantage comme un chasseur de vulnérabilités et un chercheur, avait soumis un rapport de vulnérabilité sur un bug similaire dans l’outil d’importation de contacts d’Instagram. Les pirates pouvaient extraire des données en procédant à une attaque d’énumération de numéros de téléphone automatisée, plus efficace que celle découverte en 2017.
Facebook avait répondu "être déjà au courant du problème à la suite d’une découverte interne" et que ce genre de vulnérabilités ne présentait qu’un "risque extrêmement faible (…) à moins de déterminer à quel identifiant utilisateur spécifique était lié une adresse mail ou un numéro de téléphone."
Il aura fallu que Forbes publie un article à la suite de sa découverte pour que Facebook reconnaisse finalement son rapport comme légitime et lui verse la prime de 4000 dollars promise à tout chasseur de bugs. "Cela aurait pu permettre à un utilisateur malveillant d’imiter Instagram et de rechercher des numéros de téléphone pour trouver à quels utilisateurs ils appartenaient », avait alors justifié Facebook.
De sérieux risques de poursuites
Mardi dernier, Facebook a utilisé la même rhétorique pour expliquer la récente vulnérabilité de son réseau social et la faille qui a permis de récupérer les données de plus de 500 millions d’utilisateurs.
"Nous avons apporté des modifications pour empêcher les acteurs malveillants d’utiliser un logiciel pour imiter notre application et télécharger de grands ensembles de numéros de téléphone pour voir lesquels correspond aux utilisateurs de Facebook", s’est expliqué la plateforme américaine, arguant que les données en fuite n’étaient pas aussi sensibles que des données de santé ou financières, et que rien ne prouvait réellement que les hackers avaient récupéré les données en piratant le système.
Facebook a rémunéré, et donc admis, une vulnérabilité dans son outil d’importation de contacts qui s’avère être le même pour Instagram et Facebook. Même si l’entreprise assure que les incidents sont survenus "avant septembre 2019" (date de publication de l’article de Forbes). Selon Wired, construire la base de données découverte aurait nécessité plusieurs sessions de "grattage" de données, vraisemblablement avant 2018. De quoi laisser la place à l’ouverture d’une enquête un peu partout dans le monde, puisque 20 millions de Français sont aussi concernés.
Pour Ashkan Soltani, ancien responsable de la Federal Trade Commission américaine, organe de surveillance, il ne fait aucun doute que la prudence de Facebook trahit une certaine inquiétude. « Étant donné la façon dont ils essaient d’être si prudents pour indiquer qu’ils n’ont pas été piratés, je pense qu’ils sont probablement très conscients du fait qu’ils pourraient être confrontés à une responsabilité importante », a-t-il expliqué au média spécialisé.