Facebook : les informations personnelles de plus de 1,5 milliard d'utilisateurs vendues aux pirates
Facebook : les informations personnelles de plus de 1,5 milliard d'utilisateurs vendues sur un forum de pirates,
nom, adresse électronique, numéro de téléphone, localisation sont divulgués
Les informations privées et personnelles de plus de 1,5 milliard d'utilisateurs de Facebook seraient en train d'être vendues sur un forum populaire de pirates informatiques. Ces informations privées et personnelles permettront aux cybercriminels et aux annonceurs sans scrupules de cibler les internautes du monde entier. Selon l'auteur du forum, les données fournies contiennent le nom, l'adresse électronique, le numéro de téléphone, la localisation, le sexe et l'identifiant des victimes.
Le vendeur prétend représenter un groupe de scrapers web en activité depuis au moins quatre ans et affirme avoir eu plus de 18 000 clients pendant cette période. Les échantillons présentés sur le forum montrent que les données semblent effectivement authentiques. Ils affirment avoir obtenu les données par scraping (extraction de contenus) plutôt que par piratage ou compromission des comptes des utilisateurs individuels.
Rappelons que le « scraping » est une technique permettant d'extraire du contenu (des informations) d'un ou de plusieurs sites web de manière totalement automatique. Ce sont des scripts, des programmes informatiques, qui sont chargés d'extraire ces informations. Si, techniquement, aucun compte n'a été compromis, ce n'est qu'une maigre consolation pour ceux dont les données peuvent désormais se retrouver entre les mains de spécialistes du marketing Internet sans scrupules et probablement aussi entre celles de cybercriminels.
Les spécialistes du marketing sans scrupules peuvent utiliser ces données pour inonder des personnes ou des groupes de personnes spécifiques de publicités non sollicitées. Le fait que les numéros de téléphone, la localisation dans la vie réelle et les noms complets des utilisateurs soient inclus dans les données est particulièrement inquiétant. En outre, le spam par SMS et par notification Push est de plus en plus répandu, même si la plupart des pays ont rendu ces pratiques illégales il y a plusieurs années.
Le scraping est-il légal ?
Le web scraping est aussi appelé « screen scraping », ou « harvesting ». Ces termes recouvrent l’ensemble des techniques consistant à récupérer le contenu d’un site web, pour les intégrer dans un autre. Il s’agit d’une pratique fréquente.
L’affaire Ryanair contre Opodo en France illustre la tendance la plus libérale de la jurisprudence. Ryanair poursuivait le comparateur de prix Opodo pour avoir publié seulement une partie de ses tarifs. Selon la Cour, Ryanair ne démontrait pas avoir fait des investissements suffisants dans la présentation de sa grille de prix. Le transporteur ne pouvait donc pas se prévaloir d’une protection par le droit des bases de données. Par ailleurs, la violation des conditions générales n’était pas plus efficace : ces conditions n’étaient applicables qu’à l’achat d’un billet d’avion, et non pour toute visite du site internet. D’autres arguments existent. Parmi ceux-ci, certains web scrapers font habituellement valoir le caractère public des informations disponibles en ligne.
Cependant, de nombreux arguments commandent la prudence. D’abord, le scraping pourrait être considéré comme une pratique déloyale parasitaire. Ceci est particulièrement vrai lorsque le scraping est le fait d’un concurrent. Ensuite, il est rare que le site copié ne parvienne pas à prouver avoir réalisé un investissement substantiel dans sa base de données. Un tel investissement permet habituellement de se prévaloir d’un droit de propriété intellectuelle. Cela dépend toutefois du type d’utilisation qu’en fait le scraper. Les données peuvent être utilisées pour mettre en péril la sécurité des utilisateurs. Par exemple, les pirates peuvent utiliser les données extraites pour mener des attaques de phishing.
Selon certains analystes, la véritable question serait de savoir comment le web scraper compte utiliser les données extraites d'un site web (manuellement ou à l'aide d'un logiciel). En effet, les données affichées par la plupart des sites web sont destinées à la consommation publique. Il est tout à fait légal de copier ces informations. Mais c'est sur la manière dont on compte utiliser ces données que vous devez faire attention.
L'identification des numéros de téléphone des utilisateurs individuels permet aux cybercriminels d'envoyer de faux SMS aux utilisateurs concernés en se faisant passer pour diverses entités telles que Facebook lui-même ou même des banques. Les utilisateurs sont alors invités à cliquer sur un lien pour réclamer un prix, mettre à jour leurs paramètres de sécurité, changer leurs mots de passe ou faire quelque chose de similaire. Après avoir accédé au lien, ils seront redirigés vers une version clonée du site web que les auteurs prétendent représenter. Ensuite, si l'utilisateur saisit son mot de passe actuel, les cybercriminels seront en mesure de détourner le compte concerné.
C'est ainsi que des comptes Facebook et même des identifiants bancaires en ligne sont vendus sur le web pour à peine 10 dollars. La majorité des données des utilisateurs Facebook sont obtenues par scraping des profils Facebook qui ont été définis comme « publics » par leurs propriétaires. Malheureusement, la grande majorité des informations personnelles sont librement partagées et mises à la disposition du grand public par les utilisateurs de Facebook eux-mêmes.
De même, il ne faut jamais participer à des quiz, des enquêtes ou des jeux aléatoires sur Facebook, sauf s'ils sont proposés par un éditeur connu et vérifié. Il s'agit presque toujours, hélas, de stratagèmes utilisés pour l'extraction de données. Facebook a déclaré en 2019 s’être rendu compte que les adresses émail des contacts d’une partie de ses utilisateurs avaient été téléchargées accidentellement par le réseau social depuis 2016 au moment de la création d’un compte par ces utilisateurs. C’est un chercheur en sécurité informatique qui s’en était aperçu. Il a constaté que Facebook demandait à certains utilisateurs d’entrer le mot de passe de la boîte mail rattachée à leur compte Facebook, au moment où ils s’inscrivaient. Le but était, d’après l’entreprise, de vérifier leurs identités.
Plus tôt cette année, un utilisateur d'un forum de piratage a publié les numéros de téléphone et les données personnelles de centaines de millions d'utilisateurs de Facebook gratuitement en ligne.
Les données exposées comprenaient les informations personnelles de plus de 533 millions d'utilisateurs Facebook de 106 pays, dont plus de 32 millions d'enregistrements sur les utilisateurs aux États-Unis, 11 millions sur les utilisateurs au Royaume-Uni, 6 millions sur les utilisateurs en Allemagne et près de 20 millions sur les utilisateurs en France. Il comprenait leurs numéros de téléphone, identifiants Facebook, noms complets, lieux de résidence, anciens lieux de résidence, dates de naissance, biographies, situation matrimoniale et, dans certains cas, adresses e-mail.
Pour vérifier l’authenticité de ces enregistrements, certains médias ont examiné un échantillon des données divulguées et vérifié plusieurs enregistrements en faisant correspondre les numéros de téléphone des utilisateurs Facebook connus avec les identifiants répertoriés dans l'ensemble de données. Ils ont également vérifié les enregistrements en testant les adresses e-mail à partir de l'ensemble de données de la fonction de réinitialisation du mot de passe de Facebook, qui peut être utilisée pour révéler partiellement le numéro de téléphone d'un utilisateur.
Un porte-parole de Facebook a déclaré que les données avaient été supprimées en raison d'une vulnérabilité corrigée par la société en 2019. De nombreux sites demandent à vérifier votre identité lors d’une inscription. En général, ils envoient plutôt un émail de confirmation, avec un lien sur lequel il faut cliquer pour valider le compte, ou un code à chiffres par SMS. Une autre méthode populaire, mais illégale, scraping consiste à utiliser de faux sondages ou questionnaires Facebook. Chaque fois qu'une personne participe à l'une de ces enquêtes ou à l'un de ces quiz, elle permet aux créateurs de ces jeux de consulter ses informations personnelles sur Facebook, telles que son nom complet, son adresse électronique, son numéro de téléphone, sa localisation, son sexe, etc.
Il est recommandé aux utilisateurs de Facebook de renforcer leur sécurité et il est généralement déconseillé aux utilisateurs de Facebook de rendre leur compte entièrement public.
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :
Répondre avec citation
Partager