Pourquoi la base Facebook a fait couler beaucoup d’encre sur les réseaux

Les informations personnelles de 533 millions d’utilisateurs Facebook ont été publiées librement le 3 avril 2021 sur des forums du web. Classée par pays, la base recense nom, prénom, date de naissance, numéro de téléphone, employeur, localisation géographique, genre et statut de la relation des utilisateurs. Ces informations pourraient être exploitées par des attaquants dans le cadre d’attaques par ingénierie sociale.

Facebook a confirmé que cette fuite d’informations provenait de l’abus d’une fonctionnalité identifiée en septembre 2019. Bien que l’erreur ait été corrigée la même année, les utilisateurs du réseau social n’en ont pas été informés.

L’attribut alt de cette image est vide, son nom de fichier est underthebreach-500x421.jpg.
Post Twitter de l’utilisateur @UnderTheBreach

Les données personnelles de 533 millions d’utilisateurs

Une base de données recensant les informations personnelles de 533 millions d’utilisateurs Facebook a été publiée librement sur des forums du web début avril 2021. Cette base aurait été payante depuis près de 2 ans. Ces données concernent au total les ressortissants de plus de 100 pays. Classés par pays, les données des profils Facebook ainsi que les numéros de téléphone associés sont listés dans un fichier texte. En plus de ces éléments, les informations suivantes sont également accessibles :

  • Nom et prénom
  • Date de naissance
  • Adresse email
  • Localisation
  • Employeur
  • Genre
  • Statut de la relation

Note : Seules 2,5 millions d’adresses email sont présentes.

Aperçu des archives et du contenu d’un fichier texte présents dans la base Facebook

En ce qui concerne la France, les chiffres sont très inquiétants avec près d’un utilisateur sur deux concernés par cette fuite. Au total, cela représente plus de 19,8 millions de comptes, d’après les derniers chiffres du mois de mars 2021.

Souvent utilisées comme étape préalable à la réalisation d’attaques par ingénierie sociale, ces données représentent une vraie mine d’or pour des attaquants motivés. Avec l’ensemble des informations disponibles, une personne malveillante pourrait envoyer des emails d’hameçonnage ciblés (spear phishing), des SMS (SMiShing), et même appeler directement les victimes afin de leur dérober des informations confidentielles à leur insu.

Il est tout à fait envisageable qu’un attaquant ayant récupéré ces informations cible les utilisateurs référencés dans cette liste. Par exemple, en envoyant des SMS contenant un lien vers un domaine qu’il contrôle, il inciterait les victimes à cliquer sur ce lien (en prétextant l’inscription à un créneau de vaccination de la COVID-19 par exemple). L’attaquant serait ainsi en mesure de récupérer les identifiants d’accès valides des victimes, des informations sur son système informatique mais également déposer un fichier arbitraire dans le but de prendre le contrôle de son système.
Les informations et les accès récupérés pourraient être revendus, voire exploitées sur d’autres services web afin de rassembler davantage d’informations sensibles comme des données bancaires.

Un autre scénario imaginable serait l’utilisation de ces informations dans le but de se faire passer pour sa victime auprès de sa banque ou de son opérateur téléphonique.

Les scénarios sont divers et variés, et les attaquants ne manquent pas d’imagination afin de dérober les informations confidentielles de leurs victimes.

Facebook au centre de l’attention

Un porte-parole de Facebook a confirmé au site Business Insider que l’entreprise était au courant de cette fuite depuis 2019 sans pour autant prévenir ses utilisateurs. En effet, cette fuite ne provenant pas d’une vulnérabilité, la firme californienne a jugé qu’il s’agissait d’une simple violation de ses conditions de service.

Un communiqué du DPC (Data Protection Commission), l’équivalent de la CNIL en Irlande, a apporté plus de précisions sur cette affaire. Facebook a annoncé que les données publiées ont été en partie collectées entre juin 2017 et avril 2018, au sein d’une base de données antérieure. Selon Facebook, la base de données de 533 millions d’utilisateurs contiendrait, en majorité, les données de la base collectée précédemment. Cette collecte d’informations ayant eu lieu avant la mise en place du RGPD (mai 2018), Facebook a fait le choix de ne pas notifier les autorités publiques.

A noter en parallèle qu’une technique similaire aurait été utilisée pendant la période 2017 – 2018 ainsi que l’année suivante afin de collecter des informations. À cette époque, Facebook avait mis en place une nouvelle fonctionnalité appelée « Find My Friends » permettant à tout utilisateur d’importer une liste de contact de son répertoire afin de retrouver les profils des utilisateurs rattachés à leur numéro de téléphone. Cette fonctionnalité ne limitait pas le nombre de requêtes transmises, ce qui équivaut à permettre à tout utilisateur d’importer autant de contact que voulu. Ce défaut de configuration a permis à des individus peu scrupuleux d’abuser de cette fonctionnalité et de créer de fausses listes contenant des millions de « contacts » en énumérant de façon exhaustive des numéros de téléphone. En important ces fausses listes de contacts, les individus malveillants récupéraient les informations disponibles sur les comptes correspondant aux numéros de téléphone. Ce défaut a été corrigé en septembre 2019.

Bien que les données collectées datent de 2019, elles peuvent toujours être d’actualité (les numéros de téléphone par exemple). Il est donc recommandé de rester vigilant en vue d’une probable utilisation malveillante de ces informations.

Le scraping : la méthode du moment

Les données collectées dans la base ont été aspirées par des acteurs malveillants. Cette méthode est également appelée « scraping » et consiste à récupérer les données disponibles sur un site web. Souvent employés par le biais de programmes, ou scripts, ils cherchent l’information au sein même d’une page web. Selon leur configuration, les données récoltées peuvent être diverses : la météo du jour sur le site de météofrance, des images de films sur le site Allociné, voire les données de localisation des conducteurs Uber. Il n’est également pas rare de voir des données collectées par le biais d’outils disponibles publiquement, mises en place par l’entreprise, comme des APIs, des fonctionnalités ou des services comportant un défaut de configuration pouvant être exploité à distance par un attaquant.

L’actualité du moment montre une recrudescence des activités de scraping sur les réseaux sociaux. Récemment une base de données Linkedin de 500 millions d’utilisateurs ainsi qu’une autre de plus d’un million d’utilisateurs ClubHouse sont en vente sur les forums du web. Derrière ces activités de scraping, les criminels ont toujours le même but :  la recherche d’un maximum d’informations personnelles dans un but lucratif. Ces données serviront à d’autres acteurs malveillants qui mettront en place divers scénarios dans l’objectif de récupérer des informations confidentielles sur leurs victimes.

Plusieurs sites permettent d’identifier rapidement si l’on est concerné par cette fuite de données :

CERT-XMCO

Découvrir d'autres articles