Les données de plus de 530 millions d'utilisateurs Facebook dans le monde, parmi lesquels près de 20 millions de Français, ont été publiées par un internaute spécialiste en cybercriminalité, samedi 3 avril. Les informations contiennent notamment des numéros de téléphone et des adresses mail.

L'affaire a été révélée et massivement partagée sur Twitter samedi 3 avril. Alon Gal, cofondateur de Hudson Rock, société spécialisée dans la cybercriminalité, a publié une série de tweets dans laquelle il annonce que les données de 533 millions d'utilisateurs Facebook dans le monde, dont près de 20 millions de Français, avaient été rendues publiques. Elles contiennent de nombreuses informations privées, et proviennent d'une faille de sécurité chez Facebook. Franceinfo fait le point sur ce piratage massif.

1 Quel type de données personnelles ont été dévoilées ?

Les fichiers publiés sur un forum fréquenté par des experts en cybercriminalité révèlent les données personnelles de 533 millions d’utilisateurs Facebook à travers le monde. On y trouve des informations issues des comptes Facebook de ces internautes : leurs noms, prénoms, dates de naissance, identifiants, villes et pays de résidence, mais également leurs numéros de téléphone et, parfois, leurs adresses mail. Les mots de passe, les informations bancaires ou encore les données médicales ne sont pas concernés par ces révélations.

Les informations personnelles figurant dans le fichier, qui concernent des internautes de 106 pays, ont été vérifiées et authentifiées par plusieurs médias américains, avant que franceinfo constate également la véracité de ces données.

2 D’où vient la fuite ?

Les données révélées par Alon Gal, spécialiste en cybercriminalité, proviennent d'une faille de sécurité chez Facebook, et datent de 2019, comme l'a confirmé un porte-parole de l'entreprise américaine à l'AFP. "Il s'agit de données anciennes" dont la fuite "avait déjà été rapportée dans les médias en 2019". La faille découverte en 2019, qui rendait possible la collecte de données personnelles, a depuis été maîtrisée selon Facebook.

"Ces données ont été collectées avant septembre 2019 par des acteurs malveillants, non pas à la suite du piratage de nos plateformes, mais grâce à la technique du 'scraping' qui permet, grâce à des logiciels, d'extraire des données publiques pour les diffuser sur certains forums Internet", précise Facebook dans un communiqué (en anglais) publié mercredi 7 avril. Les données ont ainsi circulé pendant deux ans sur le "marché noir" avant d'être rendues publiques gratuitement.

3 Combien de Français sont concernés et que risquent-ils ?

Près de 20 millions de Français seraient concernés par cette fuite de données. Le fichier "France" regroupe précisément 19 848 557 lignes, soit potentiellement autant d'utilisateurs français, même s'il est impossible d'affirmer que l'ensemble du fichier ne regroupe que des Français. Certaines lignes renvoient en effet vers d'autres pays de résidence que la France.

Si l'absence de données très sensibles – mots de passe, informations bancaires, données médicales – réduit le risque de préjudices importants, la divulgation des numéros de téléphone et de certaines adresses mail peut être utilisée à des fins frauduleuses. Des cybercriminels "vont certainement utiliser ces informations pour des arnaques, du piratage et du marketing", a prévenu Alon Gal, sur son compte Twitter. Le risque de phishing – technique frauduleuse destinée à leurrer l'internaute pour l'inciter à communiquer des données personnelles ou bancaires – est réel et invite à la méfiance.

4 Comment puis-je savoir si je suis concerné par cette fuite ?

En trois clics, le site HaveIBeenPwned renseigne les utilisateurs dont les données ont été révélées. Il suffit d'entrer, dans la barre de recherche du site, son numéro de téléphone au format international avec l'indicatif "+33" à la place du zéro initial. L'opération est également possible en saisissant son adresse mail.

5 Quels sont les recours juridiques possibles pour les victimes ?

L'avocat spécialiste en fraude informatique et en cybercriminalité Alain Bensoussan, interrogé par franceinfo, explique qu'un utilisateur concerné par cette fuite de données dispose de quatre recours pour réparer un éventuel dommage. "Une action en responsabilité contre Facebook, une action en responsabilité contre un hacker (qui aurait utilisé les informations personnelles d'un utilisateur à des fins frauduleuses), une plainte auprès de la Cnil (Commission nationale de l'informatique et des libertés) et une action de groupe devant les tribunaux."

Vu la nature des données personnelles révélées, Alain Bensoussan estime que le préjudice est assez faible. "Il n'y a pas de messages privés, ce sont des informations faiblement confidentielles, et il faut prouver le préjudice, qui n'est pas facile à identifier pour un individu." En cas de recours, "il y aurait un décalage entre le coût de la procédure et le préjudice final".

Avec France info