Facebook se refuse à parler de “piratage” concernant la fuite de plus de 500 millions de numéros de téléphone. Mais l’entreprise a bien une responsabilité, en ayant laissé ouverte une faille majeure de sécurité.
“Ce n’est pas un bug, c’est une fonctionnalité”. Cet adage bien connu du monde de la cybersécurité pourrait symboliser à lui seul la défense de Facebook. Depuis le samedi 3 avril, une gigantesque base de données de 533 millions de numéros de téléphone d’utilisateurs de Facebook circule gratuitement sur les forums en ligne.
La France est un des pays les plus touchés avec 20 millions de victimes, soit la moitié des habitués de la plateforme. Quatre jours plus tard, Facebook a finalement décidé de prendre la parole, décidant de nier l’existence du piratage.
Des fonctions détournées
Facebook a publié ce 6 avril un communiqué de presse rédigé par l’un de ses cadres, Mike Clark. Il réfute le terme de piratage, évoquant plutôt le détournement d’une fonction clé de Facebook: l’analyse du répertoire du smartphone de l’utilisateur, notamment pour lui suggérer des amis lors de la création de son compte.
Il est important de comprendre que des acteurs malveillants n’ont pas obtenu ces données en piratant nos systèmes mais en les recueillant depuis notre plateforme avant septembre 2019. Nous pensons que les données en question ont été recueillies depuis les profils Facebook […] par le biais de nos outils permettant d’importer ses contacts”, explique Facebook dans un communiqué de presse.
Pour bien comprendre la distinction faite par Mike Clark, il faut revenir sur deux outils de Facebook, au fonctionnement analogue.
Tout d’abord, une fonction d’annuaire inversé, activée par défaut pour tous les utilisateurs mais méconnue de la quasi-intégralité de ces derniers. Jusqu’en 2018, il était possible d’inscrire un numéro de téléphone dans la barre de recherche de Facebook pour voir s’afficher le compte correspondant, y compris si le propriétaire du compte n’avait inscrit nulle part son numéro sur son profil.
Le demi-mensonge de Facebook
Pendant de longues années, certains spécialistes du marketing peu scrupuleux ont ainsi utilisé des robots pour inscrire mécaniquement tous les numéros de téléphone imaginables et enregistrer la liste des noms, prénoms, ou encore adresse mail, employeur ou emplacement des utilisateurs des comptes affichés par l’annuaire inversé. Autant de données utilisées pour du démarchage téléphonique, voire de l’escroquerie.
Après de multiples polémiques, Facebook a finalement désactivé cet outil, pensant mettre fin à cette collecte massive de données, fermement interdite par ses conditions générales d’utilisation.
Mais c’était sans compter sur sa fonction d’importation de contacts, au fonctionnement analogue: lorsqu’un utilisateur crée son compte, c’est le même processus qui permet à Facebook de lui suggérer ses premiers amis en analysant tous les numéros de téléphone de son répertoire et en affichant tous les comptes rattachés à l’un de ces numéros.
En théorie, Facebook a mis en place des garde-fous pour éviter, là encore, toute utilisation abusive et massive de ce système. Par exemple pour empêcher un acteur malveillant décidant de créer un immense répertoire composé de tous les numéros de téléphone imaginables et demandant à Facebook de lui afficher l’ensemble des profils correspondants. C’est pourtant exactement ce qu’il s’est produit, comme le rappelle un chercheur de chez F-Secure, une entreprise spécialisée en cybersécurité.
533 millions de confirmations
De l’aveu même de Facebook, qui n’apporte que peu de détails, les “hackers” ont détourné ces garde-fous en faisant passer leur logiciel pour un système interne de Facebook. Autrement dit, et contrairement à ce qu’affirme l’entreprise californienne, en profitant d’une véritable faille de sécurité.
Auprès de BFMTV, Facebook France confirme qu’aux yeux de l’entreprise, cette affaire n’est pas considérée comme un piratage et qu’aucune donnée privée n’a été diffusée. C’est en vertu de cette interprétation que l’entreprise a décidé de ne pas prévenir les utilisateurs français concernés, qui peuvent toutefois vérifier leur situation grâce à des sites tiers.
Comme l’explique à raison Facebook, les “hackers” n’ont pas infiltré ses systèmes pour aspirer les millions de numéros de téléphone, procédant de manière inverse, en suggérant ces numéros à Facebook. Pour constituer leur immense base de données, ces derniers ont finalement réclamé au réseau social la confirmation que chaque numéro était bien celui de l’un de ses utilisateurs, et de lui indiquer, le cas échéant, à qui il appartenait. Ce que Facebook a fait à 533 millions de reprises.
Raphaël Grably
Chef de service BFM tech