Comme vous l’avez probablement lu ou entendu à la une des médias au cours de la dernière semaine, « Un demi-milliard d'utilisateurs de Facebook victimes d'une violation de leurs données ». Toute violation de données, surtout lorsqu'elle touche un nombre aussi important d'utilisateurs, est désagréable, tant pour l'entreprise que pour les utilisateurs concernés.
La chronologie de cette brèche de données, selon Facebook, commence en 2018, lorsqu'il est apparu que des acteurs malveillants abusaient d'une fonctionnalité de Facebook qui permettait à un utilisateur de rechercher un autre utilisateur par son numéro de téléphone pour le localiser sur le réseau social. Cette fonctionnalité était particulièrement utile dans les territoires où de nombreux utilisateurs partagent le même nom et le même prénom, ce qui rendait complexe la recherche de la personne réelle que l'on recherchait. Malheureusement, cela permettait aux mauvais acteurs d'abuser de la fonctionnalité et de « racler » Facebook en utilisant des automatismes et des scripts pour compiler une base de données qui, au minimum, comprenait le nom et le numéro de téléphone de la victime.
Facebook a supprimé la fonctionnalité en avril 2018, peu après le scandale Cambridge Analytica et lorsque l'activité malveillante de « raclage » a été identifiée. Avançons jusqu'en 2019 et, comme le rapporte TechCrunch, un chercheur en sécurité a trouvé en ligne les enregistrements de 400 millions de comptes Facebook dans une base de données non protégée. À l'époque, Facebook a confirmé que les données étaient datées et semblaient avoir été recueillies avant la suppression de la fonction de recherche en 2018. Les données non protégées ont été retirées de l'accès public.
Ces derniers jours, CNN et de nombreux autres médias ont rapporté que des chercheurs en sécurité ont, une fois de plus, identifié une base de données non protégée accessible au public avec, ce qui semble être, les mêmes données raclées que celles signalées en 2019. Selon certaines spéculations, rapportées par TechCrunch, l'ensemble de données original pourrait avoir été ajouté depuis qu'il a été récupéré en 2018, selon des informations citées par la Commission irlandaise de protection des données (DPC). Il est indiqué que la DPC tente d'établir l'ensemble des faits pour vérifier si la violation a eu lieu avant l'entrée en vigueur du Règlement général sur la protection des données (RGPD).
Si, au moment du raclage, le profil de la victime sur Facebook était public, l'acteur malveillant peut avoir glané d'autres informations, plus personnelles, qui pourraient ensuite être utilisées pour créer un profil de la victime. Les données qui contiennent de riches informations personnelles identifiables pourraient être utilisées contre la victime dans le cadre d'une usurpation d'identité, d'un hameçonnage ciblé, d'une campagne d'ingénierie sociale, d'une prise de contrôle de compte et d'autres escroqueries susceptibles de causer des perturbations et des dommages importants.
La valeur des données diminue-t-elle avec le temps? La réponse est à la fois oui et non. J'ai le même numéro de téléphone aujourd'hui qu'en 2018, les informations qui sont statiques comme la date de naissance restent les mêmes, et même une chronologie d'activité ne changerait pas mais se serait juste arrêtée au moment où les données ont été recueillies. Alors que les mots de passe, que ces données ne contenaient pas, sont susceptibles d'avoir été changés au cours des trois dernières années.
Le site Web de compilation des brèches de données Have I Been Pwned (HIBP) note que seuls 2,5 millions des enregistrements trouvés dans les données non protégées accessibles au public comprenaient une adresse électronique. Toutefois, la plupart des enregistrements contenaient des noms, le sexe, la date de naissance, le lieu de résidence, le statut relationnel et l'employeur. Je considère que de telles données personnelles, même sans adresse électronique, constituent une atteinte à mon identité et devraient me préoccuper.
Comment vérifier si vous avez été affecté
Pour les comptes d'utilisateur contenant une adresse électronique, les acteurs malveillants pourraient tenter d'accéder à Facebook et à d'autres sites et services en utilisant l'adresse électronique et des techniques d’intrusion par force brute avec des mots de passe courants. Si la victime n'utilise que des mots de passe simples, les mêmes sur de nombreux sites, et qu'elle ne les change jamais, elle doit prendre des mesures dès aujourd'hui : changer les mots de passe, les rendre uniques et complexes et activer l'authehttps://www.welivesecurity.com/fr/2020/11/19/pires-mots-de-passe-2020/ntification multifactorielle. Vous pouvez vérifier si vous faites partie des 2,5 millions de personnes concernées sur le site web du HIBP.
Mais ce qui est peut-être plus important, c'est que le site permet désormais à quiconque de vérifier si son numéro de téléphone a été rendu public avec cette brèche.
Pourquoi est-ce important, au-delà du simple nombre de numéros de téléphone divulgués? Si vous avez déjà reçu un SMS vous demandant de réinitialiser un mot de passe Netflix ou vous annonçant qu'une carte cadeau vous attendait, vous devez savoir que des acteurs malveillants utiliseront probablement les données dont ils disposent, à savoir le nom et le numéro de téléphone, pour élaborer socialement une réponse qui leur permettra d'accéder à des données qu'ils pourront ensuite monétiser. Il est également probable que les acteurs malveillants aient combiné ces données avec d'autres données ayant fait l'objet d'une violation, notamment votre adresse électronique et d'autres données personnelles, ce qui leur donne suffisamment d'informations pour lancer une attaque d'ingénierie sociale crédible sur des particuliers.
La vigilance et une attitude dubitative face à chaque message et courriel que vous recevez contribueront à protéger vos comptes en ligne. Ajoutez à cela des mots de passe uniques pour chacun de vos comptes, l’authentification multifactorielle et l’utilisation d’un logiciel de sécurité de qualité, tel que ceux d’ESET, et vous serez mieux protégé. Et si vous ne parvenez pas à vous souvenir des mots de passe ou à en créer de complexes et uniques, pensez à utiliser un gestionnaire de mots de passe.