Discussion :

[tanaka59]

Bonjour,

Qu’en pensez-vous ?

Une fuite de donnée n'ai en rien "normal". Si les équipes IT de chez Facebook sont des bras cassés de la sécu IT ... bah qu'ils changent d'employés. Le fond du problème vient plutôt des dirigeants cupide et avide d'argent ... Donc encore une fois dès qu'il une fuite avec ce type de boite, les chiffres sont juste astronomiques.

Facebook souhaite la normalisation de ces ennuyeuses fuites de données. Quel est votre avis à ce sujet ?

Il n'y a rien à normaliser. Se faire dépouiller quelque chose qu'une autre personne nous prête , bah on en assume les conséquences en cas de négligence ou si on a fait de la merde avec. C'est trop facile après le critiquer le préteur. Le banquier qui fait le con avec l'argent de ces clients est autant responsable que facebook.

Les fuites de données ne sont-elles pas déjà normalisées sur Facebook ?

Waouh , on atteint des niveaux de conneries la ! La "normalisation" du vol ... On aura tout vu , ou comment se dédouaner .

Facebook dit qu’il ne peut « pas toujours empêcher la réapparition de ce type d’informations ou la mise à disposition de nouvelles données*». Quel commentaire en faites-vous*?

C'est en amont qu'on pense la sécurité ... pas en aval

Perso ça fait belle lurette que j'ai résilié mon compte chez eux, je m'étonne du fait qu'ils aient encore des abonnés.

J'ai aussi fait drastiquement le ménage. J'ai limité au strict nécessaire mon utilisation de facebook (famille , ami, connaissance associative ...) .

[pcdwarf]

Pour que des données ne "fuient" pas, il faut commencer par ne pas les créer sans nécessité, et surtout ne pas les confier à des tiers dont tout le modèle économique repose sur leur exploitation.

[plegat]

Une fuite de donnée n'ai en rien "normal". Si les équipes IT de chez Facebook sont des bras cassés de la sécu IT ... bah qu'ils changent d'employés.

Même en changeant d'employés, tu n'auras jamais une garantie à 100% des données.
LA seule et unique garantie à 100%, ça serait d'avoir toute tes données sur un serveur déconnecté du réseau... dans une pièce fermée... dont personne n'a la clef de la porte... d'ailleurs qu'il n'y ait pas de porte... et pour plus de sécurité, tu éteins le serveur... et tu le brûles (non, n'allez pas mettre vos données chez OVH! )

Se faire dépouiller quelque chose qu'une autre personne nous prête

Euh... tu n'as pas lu les petites lignes du contrat de chez Facebook... tu ne prêtes pas... tu donnes...

Le banquier qui fait le con avec l'argent de ces clients est autant responsable que facebook.

Là tu as tout dit... le dernier banquier qui soit allé en prison, c'était qui et quand?

J'ai aussi fait drastiquement le ménage. J'ai limité au strict nécessaire mon utilisation de facebook (famille , ami, connaissance associative ...) .

Et donc?
Si ils ont tes données perso, que tu n'ailles voir que trois personnes ou la moitié de la Terre, ça ne changera rien en cas de fuite de données.
Que tu résilies ton compte, ça ne change rien non plus...
Comme l'as dit pcdwarf, si tu veux limiter la diffusion d'information, il faut limiter l'information...

Après, sinon, je trouve le titre un peu racoleur.
Sans chercher à défendre Facebook (dont je ne suis pas un fervent activiste ni un membre extrêmement actif), ça serait effectivement "cool" de normaliser le fait que les fuites de données existent... juste histoire de sensibiliser les utilisateurs et qu'ils comprennent les risques qu'ils prennent à leur refiler des tonnes d'informations à une boîte qui les perd régulièrement! Certains diront que ça serait également cool pour Facebook de normaliser le fait de sécuriser les données de ses clients, sauf que nous ne sommes pas les "clients" sur ce coup...

[tanaka59]

Bonjour

Même en changeant d'employés, tu n'auras jamais une garantie à 100% des données.
LA seule et unique garantie à 100%, ça serait d'avoir toute tes données sur un serveur déconnecté du réseau... dans une pièce fermée... dont personne n'a la clef de la porte... d'ailleurs qu'il n'y ait pas de porte... et pour plus de sécurité, tu éteins le serveur... et tu le brûles (non, n'allez pas mettre vos données chez OVH! )

tu veux revenir au temps de Cro-Magnon toi ?

Euh... tu n'as pas lu les petites lignes du contrat de chez Facebook... tu ne prêtes pas... tu donnes...

Je ne donne rien du tout. Sans jouer sur les mots , Facebook a en somme un jouissance exclusive . Comme dire. L'adresse mail que je possède ne va pas leur appartenir. Simplement dans leur politique, si je désinscris , ils peuvent continuer de m'arroser de pub et j'en passe. Même sans mon accord.

Idem , une photo "perso" , passe dans le giron de Facebook qui peut la réutiliser à loisir . Donc le commerçant peut se voir attaquer en justice pour sa propre marque sur une photo ... C'est très con et pourtant bien vrai

Là tu as tout dit... le dernier banquier qui soit allé en prison, c'était qui et quand?

Madoff (tiens il est mort la semaine dernière ).

Et donc?
Si ils ont tes données perso, que tu n'ailles voir que trois personnes ou la moitié de la Terre, ça ne changera rien en cas de fuite de données.
Que tu résilies ton compte, ça ne change rien non plus...
Comme l'as dit pcdwarf, si tu veux limiter la diffusion d'information, il faut limiter l'information...

Pour utiliser Facebook , j'utilise une adresse mail alias. Ainsi si l'on comme a m'emmerder avec de la pub par mail venant de Facebook , je peux rerooter le courrier .

En gros c'est réussir à "canaliser" ce trafic de mail ou de pub.

C'est comme ci La Poste faisait du chantage en ne distribuant pas le courrier important, si l'on colle le "stop pub". On ne peut pas "imposer" à une personne de recevoir ce qu'elle n'a pas demander, la ou elle n'a pas demander ... Autre situation caricaturale, c'est comme ci vous vous mettiez à recevoir des dizaines de colis sur votre lieu de travail, sans accord de l'employeur et contre votre grès par la même occasion.

D'ou mon idée de "canaliser" et ne pas être parano non plus. Savoir être "malin", en donnant des "mail poubelle" ou bien des infos "bidons".

Je peux très bien déclarer habiter sur un chapelet d'iles dans le pacifique , alors que j'habite le confin de la Lozère. Je m'en tamponne du pesant de cacahuète que facebook, va revendre cette info ^^

La pub , je zappe. On peut m'afficher un tonne de carotte à 2€, le dernier bitoniaux à la mode, la meilleur pâté pour chien de vendue au Pérou ...

[flopal]

Q1) Qu’en pensez-vous ?

Une fuite de donnée démontre qu'il y a un problème de faille de sécurité (notamment en termes d'authentification et de permissions). Toutefois, il est évident que des grands groupes de type GAFAM se font attaquer plus fréquemment et doivent redoubler d'effort pour éviter un bad buzz.
"Normaliser" une fuite de donnée, c'est l'identifier, voir ses impacts, conduire une analyse de risque, en déduire les personnes impactées, avertir ces derniers (n'est-ce pas…), proposer un patch, le documenter pour ne plus que cette faille se reproduise, voir si ce patch peut-être appliquer ailleurs. J'ai certainement manqué des étapes, mais j'ose espérer que FB tient un système de ticketing sur ce genre d'incident.

Q2) Facebook souhaite la normalisation de ces ennuyeuses fuites de données. Quel est votre avis à ce sujet ?

C'est un peu déléguer son travail non ? J'ai d'autres arguments (négatif si FB le fait) dans la question suivante, mais de ce que je comprends FB souhaiterai mettre en place une plateforme dans laquelle les différentes failles de sécurités sont recensées et dont un patch est livré sur cette plateforme. Cela me fait penser au CERT cette histoire.
Je ne suis pas forcément contre l'idée, mais il faudrait néanmoins donner l'exemple avant de vouloir faire dans le communautaire (voir réponse question suivante).

Q3) Les fuites de données ne sont-elles pas déjà normalisées sur Facebook ?

Je n’en ai strictement aucune idée. Comme dis dans la première réponse, j'espère que FB a un système de ticketing pour cataloguer ses fuites (avec la solution pour les colmater) ou tout autre outils pouvant catégoriser leur incident critique.
Cependant, FB applique une nouvelle fois de mauvaises pratiques qui risquent de nuire à ce qu'il souhaite instaurer :

1) Facebook a déclaré par la suite qu'il ne notifierait pas plus d'un demi-milliard d'utilisateurs de l'incident

Pourquoi ? Qu'est-ce qui t'empêche de prévenir les autres ? Comme tu ne connais pas l'impact que ça a eu, il serait peut-être appréciable de prévenir le plus de monde possible, non ? J'en déduis que leur politique lié aux fuites de donnée ne montre pas du tout le bon exemple à appliquer. Tu as une faille, tu l'assumes, tu préviens ceux impactés et dans le doute tu préviens tout le monde.

2) il a écrit dans un post sur Medium en 2017 que l'équipe de sécurité de Facebook a rejeté ses conclusions, affirmant que « cela n'expose pas d'informations supplémentaires sur les utilisateurs qui n'étaient pas déjà publiques ».

J'en déduis que FB fait du Bug Bounty. Mais il n'y a qu'à voir la réponse, perso je la comprends comme ça : les données sont publiques, pourquoi je me ferais chier à les protéger ? Ce a quoi je lui répondrais : peut-être que ces données sont personnelles et peuvent nuire à l'identité de la personne si une faille était découverte. Que les posts, images, vidéos soient publiques pas de soucis, mais retrouver l'adresse mail, le téléphone... bon c'est limite un peu non ?

Q4) Facebook dit qu’il ne peut « pas toujours empêcher la réapparition de ce type d’informations ou la mise à disposition de nouvelles données ». Quel commentaire en faites-vous ?

J'ai l'impression de voir un caliméro qui se plaint de son boulot... Encore une fois ça semble assez évident : les hackers ont toujours une longueur d'avance pour détecter / exploiter des failles, bien sûr qu'on est à la ramasse. Toutefois si une faille est découverte, ça démontre que tu n'auras pas "assez fait d'effort" pour verrouiller l'accès aux données pour les personnes autorisées, ou alors tu as laissé le tuyau grand ouvert pour que tes partenaires puissent siffler ce dont ils ont besoin pour épier tes utilisateurs.
Ce travail n'est évidemment pas aussi facile que d'écrire un commentaire dans un forum (coucou moi !), mais si tu prenais un peu plus au sérieux les remarques d'expert qui te pousse une faille - ça réglerait une partie de tes problèmes futures.

[kain_tn]

Là tu as tout dit... le dernier banquier qui soit allé en prison, c'était qui et quand?

Madoff (tiens il est mort la semaine dernière ).

Oui, et aussi 26 autres, la même année (2009) lors de la révolution Islandaise, dont on n'a presque pas entendu parler en Europe, tellement nos dirigeants avaient peur de subir la même chose!

Après, sinon, je trouve le titre un peu racoleur.
Sans chercher à défendre Facebook (dont je ne suis pas un fervent activiste ni un membre extrêmement actif), ça serait effectivement "cool" de normaliser le fait que les fuites de données existent... juste histoire de sensibiliser les utilisateurs et qu'ils comprennent les risques qu'ils prennent à leur refiler des tonnes d'informations à une boîte qui les perd régulièrement! Certains diront que ça serait également cool pour Facebook de normaliser le fait de sécuriser les données de ses clients, sauf que nous ne sommes pas les "clients" sur ce coup...

Ouais, sauf que le scrapping de données qui a permis d'obtenir ces millions de comptes provient d'une faille de sécurité signalée en 2017 apparemment. De plus, ils n'ont fait aucune communication envers les 533 millions de victimes, là où une entreprise qui cherche réellement à protéger ses utilisateurs aurait communiqué... Là, leur histoire de normalisation c'est plutôt de la flute "façon bancaire", pour dire que l'on fait des choses, même si on ne fait strictement rien derrière!

Après, je pense que si les gens savaient à quel point les fuites de données sont fréquentes, peut-être qu'il y aurait moins de photos/vidéos de nu sur le cloud et moins d'informations sur Facebook - ce qui va à l'encontre de leur business model

[Thorna]

N'y a-t-il que moi qui comprenne, dans l'utilisation faite ici du mot "normaliser", le fait tout simple de "rendre normal", en français ? C'est-à-dire de faire en sorte que ça devienne une habitude, une coutume, un truc qu'on fait tous les jours sans y penser et contre lequel on ne se plaint pas, au contraire. En d'autres termes, de faire en sorte que nous nous habituions à entendre: "oui, y'a des fuites de données, oui c'est normal et ça arrivera de plus en plus, on ne peut rien y faire, et donc habituez-vous à ça et félicitez-vous, ça veut dire que vous êtes important ! Et n'en faites pas tout un plat, fermez-la et dites merci".
Je ne sens pas du tout l'idée d'enregistrer l'incident, de l'étudier, de le référencer, de le résoudre et de le documenter, ou tout autre terme flatteur...

[kain_tn]

N'y a-t-il que moi qui comprenne, dans l'utilisation faite ici du mot "normaliser", le fait tout simple de "rendre normal", en français ? C'est-à-dire de faire en sorte que ça devienne une habitude, une coutume, un truc qu'on fait tous les jours sans y penser et contre lequel on ne se plaint pas, au contraire. En d'autres termes, de faire en sorte que nous nous habituions à entendre: "oui, y'a des fuites de données, oui c'est normal et ça arrivera de plus en plus, on ne peut rien y faire, et donc habituez-vous à ça et félicitez-vous, ça veut dire que vous êtes important ! Et n'en faites pas tout un plat, fermez-la et dites merci".
Je ne sens pas du tout l'idée d'enregistrer l'incident, de l'étudier, de le référencer, de le résoudre et de le documenter, ou tout autre terme flatteur...

C'est exactement le sens employé ici, oui: faire en sorte que l'utilisateur vive ça comme une situation normale, et c'est bien ça qui scandalise.

[pcdwarf]

N'y a-t-il que moi qui comprenne, dans l'utilisation faite ici du mot "normaliser", le fait tout simple de "rendre normal", en français ? C'est-à-dire de faire en sorte que ça devienne une habitude, une coutume, un truc qu'on fait tous les jours sans y penser et contre lequel on ne se plaint pas, au contraire. En d'autres termes, de faire en sorte que nous nous habituions à entendre: "oui, y'a des fuites de données, oui c'est normal et ça arrivera de plus en plus, on ne peut rien y faire, et donc habituez-vous à ça et félicitez-vous, ça veut dire que vous êtes important ! Et n'en faites pas tout un plat, fermez-la et dites merci".
Je ne sens pas du tout l'idée d'enregistrer l'incident, de l'étudier, de le référencer, de le résoudre et de le documenter, ou tout autre terme flatteur...

C'est aussi comme ça que je le comprends.
Alors deux choses...
Permièrement je ne confierai JAMAIS mes donnée privées à des tiers dont le modèle économique repose justement sur l'exploitation de ces données.
Et je resterai cisconspect avec les autres (fournisseurs de VPS par exemple, qui techniquement, peuvent facilement fouiller dedans à mon insue.)
Mais je peux comprendre que des gens, aient naivement cru à la promesse de plateformes comme facebook comme quoi leur données privées le resteraient...

Cette com de "normalisation" de Facebook est la preuve (si il en fallait une) que ces promesses sont une vaste blague et qu'en fait Facebook ne voit pas vraiment le problème, ou ne veut pas le voir.
En gros, ils s'en foutent.... La conséquence logique est qu'il faut fuire ce genre de plateformes ou à minima considérer que TOUT ce qu'on y fait/met est public.

[Stéphane le calme]

Facebook poursuit l'Ukrainien qui a collecté les données de 178 millions d'utilisateurs de sa plateforme
et les a vendues sur un forum clandestin de cybercriminalité

Facebook a déposé une plainte vendredi contre un ressortissant ukrainien pour avoir prétendument collecté des données (data scraping) sur sa plateforme et vendu les données personnelles de plus de 178 millions d'utilisateurs sur un forum clandestin de cybercriminalité.

Selon des documents judiciaires déposés, l'homme a été identifié comme étant Alexander Alexandrovich Solonchenko, un résident de Kirovograd, en Ukraine.

Facebook affirme que Solontchenko a abusé d'une fonctionnalité du service Facebook Messenger appelée Contact Importer. La fonctionnalité permettait aux utilisateurs de synchroniser leurs carnets d'adresses téléphoniques et de voir quels contacts avaient un compte Facebook afin de permettre aux utilisateurs de contacter leurs amis avec Facebook Messenger.

Contexte

« Pour accéder à Facebook et afficher certains profils d'utilisateurs, Facebook exige que chaque utilisateur crée un compte Facebook. Pour créer un compte Facebook, Facebook exige que chaque utilisateur s'enregistre avec un nom d'utilisateur et un mot de passe uniques. »

« Les utilisateurs enregistrés peuvent créer des profils d'utilisateurs et inclure des informations sur eux-mêmes, notamment leur adresse e-mail, leurs numéros de téléphone et leur date de naissance. Les utilisateurs enregistrés de Facebook peuvent établir des connexions sur Facebook en devenant "Amis" avec d'autres utilisateurs de Facebook. »

« Facebook offre à ses utilisateurs le contrôle sur la façon de personnaliser leurs profils et sur la quantité d'informations personnelles à inclure dans leur profil. De plus, les paramètres de confidentialité de Facebook permettent aux utilisateurs de contrôler la quantité d'informations de profil pouvant être consultées publiquement et consultables, par d'autres utilisateurs de Facebook ou par les amis des utilisateurs. »

« Facebook Messenger est une application et une plateforme de messagerie qui permet la messagerie directe, les appels vidéo et vocaux, et la possibilité de partager des photos, des vidéos, de l'audio et des fichiers, entre autres fonctionnalités. Un compte Facebook est requis pour utiliser Messenger. Messenger incluait une fonctionnalité appelée "Importateur de contacts" qui permettait à un utilisateur de télécharger ses contacts à partir du carnet d'adresses sur ses appareils mobiles. »

« Entre juin 2015 et septembre 2019, Messenger Contact Importer a inclus une fonctionnalité qui renverrait une liste individuelle de tous les utilisateurs de Facebook correspondant aux numéros de téléphone téléchargés à partir du carnet d'adresses sur l'appareil mobile d'un utilisateur ("fonction de correspondance CI"). La fonctionnalité permettait aux utilisateurs de télécharger leurs contacts à partir d'appareils mobiles et d'identifier leurs amis et autres personnes associées aux numéros de téléphone téléchargés. La fonction de correspondance CI était limitée par les paramètres de confidentialité d'un utilisateur ; c'est-à-dire qu'il n'identifiait un utilisateur avec un numéro de téléphone correspondant que si les paramètres de confidentialité de cet utilisateur permettaient de le rechercher par numéro de téléphone. Si le paramètre de recherche du téléphone d'un utilisateur était défini sur "Amis", alors seulement les « Amis » Facebook de cet utilisateur pouvaient trouver l'utilisateur grâce à la fonction de correspondance CI. Si, d'un autre côté, le paramètre de recherche par téléphone d'un utilisateur permettait à "tout le monde" de le rechercher par numéro de téléphone, d'autres utilisateurs pourraient trouver cet utilisateur à l'aide de la fonction de correspondance CI même s'ils n'étaient pas "amis" avec cet utilisateur sur Facebook. Depuis septembre 2019, Messenger Contact Importer ne renvoie plus de listes individuelles de numéros de téléphone correspondants ».

La collecte des données s'est déroulée sur une période de 21 mois

« Entre janvier 2018 et septembre 2019, l'accusé Alexander Alexandrovich Solonchenko, également connu sous le nom de "Solomam", a collecté des informations accessibles au public (identifiant d'utilisateur Facebook et numéro de téléphone) sur environ 178 millions d'utilisateurs de Facebook. Solontchenko a utilisé un programme informatique pour envoyer des demandes automatisées aux ordinateurs Facebook, tout en prétendant être plusieurs appareils Android connectés à l'application mobile Messenger de Facebook. »

« À partir d'octobre 2020, Solontchenko a vendu des données sur RaidForums.com ("RaidForums"). RaidForums est un marché en ligne utilisé pour vendre et distribuer des données récupérées, volées et divulguées. Depuis 2020, Solontchenko vend des données volées ou obtenues par data scraping à la plus grande banque commerciale d'Ukraine, au plus grand service de livraison privé d'Ukraine et à une société française d'analyse de données. En mai 2021, Solontchenko a également vendu les données qu'il avait récupérées sur Facebook entre janvier 2018 et septembre 2019, à savoir les identifiants et numéros de téléphone de Facebook. ».

« La conduite de Solontchenko a violé les conditions d'utilisation et les conditions de la plateforme de Facebook. Facebook demande maintenant une injonction et d'autres réparations ».

Selon Facebook, entre janvier 2018 et septembre 2019, Solontchenko a utilisé un outil automatisé pour se faire passer pour des appareils Android afin de lancer des requêtes auprès des serveurs Facebook sur des millions d'utilisateurs. Alors que les serveurs de Facebook renvoyaient des informations pour lesquelles les numéros de téléphone avaient un compte sur le site, Solontchenko a collecté les données, qu'il a ensuite collectées et proposées à la vente le 1er décembre 2020, dans un article sur RaidForums, un forum de cybercriminalité notoire et une place de marché pour les données volées.

Facebook a déclaré que Solonchenko était un utilisateur prodigieux sur le forum, où il opérait en utilisant le nom d'utilisateur de Solomame (renommé plus tard en barak_obama), et avait vendu les données de centaines de millions d'utilisateurs de plusieurs sociétés.

« Depuis 2020, Solontchenko a vendu des données volées ou obtenues par data scraping à la plus grande banque commerciale d'Ukraine, au plus grand service de livraison privé d'Ukraine et à une société française d'analyse de données », a affirmé Facebook dans des documents judiciaires.

Le réseau social a déclaré qu'il était en mesure de lier Solontchenko à l'utilisateur de RaidForums après que l'accusé ait utilisé le même nom d'utilisateur et les mêmes méthodes de contact sur les portails d'emploi et pour les comptes de messagerie.

« Solonchenko a travaillé en tant que programmeur informatique indépendant avec une expérience de travail dans plusieurs langages de programmation, notamment Python, PHP et Xrumer, qui est un logiciel utilisé pour le spam ; automatiser les tâches sur les émulateurs Android ; et faire du marketing d'affiliation », a déclaré Facebook.

« Jusqu'en juin 2019 ou vers cette date, Solontchenko vendait également des chaussures en ligne sous le nom commercial "Drop Top" », a ajouté Facebook.

Le réseau social demande à un juge d'émettre des injonctions qui interdiraient à Solonchenko d'accéder aux sites Facebook et de vendre davantage de données obtenues de Facebook. Le réseau social réclame également des dommages et intérêts non précisés.

Facebook a retiré la fonctionnalité "Contacter l'importateur" en septembre 2019

L'incident de Solontchenko marque la deuxième collecte de données Facebook qui a été effectuée à l'aide de la fonction Messenger Contact Importer, puis partagée via RaidForums.

En effet, le 3 avril 2021, les numéros de téléphone et les données personnelles de centaines de millions d'utilisateurs de Facebook ont été publiées sur ce même forum. Les données exposées comprenaient les informations personnelles de plus de 533 millions d'utilisateurs Facebook de 106 pays, dont plus de 32 millions d'enregistrements sur les utilisateurs aux États-Unis, 11 millions sur les utilisateurs au Royaume-Uni, 6 millions sur les utilisateurs en Allemagne et près de 20 millions sur les utilisateurs en France. Il s'agissait de leurs numéros de téléphone, identifiants Facebook, noms complets, lieux de résidence, anciens lieux de résidence, dates de naissance, biographies, situation matrimoniale et, dans certains cas, adresses e-mail.

Pour vérifier l’authenticité de ces enregistrements, certains médias ont examiné un échantillon des données divulguées et vérifié plusieurs enregistrements en faisant correspondre les numéros de téléphone des utilisateurs Facebook connus avec les identifiants répertoriés dans l'ensemble de données. Ils ont également vérifié les enregistrements en testant les adresses e-mail à partir de l'ensemble de données de la fonction de réinitialisation du mot de passe de Facebook, qui peut être utilisée pour révéler partiellement le numéro de téléphone d'un utilisateur.

Un porte-parole de Facebook a déclaré que les données avaient été supprimées en raison d'une vulnérabilité corrigée par la société en 2019. Alors qu'elles datent de quelques années, les données divulguées pourraient fournir des informations précieuses aux cybercriminels qui utilisent les informations personnelles des gens pour se faire passer pour eux ou les escroquer selon Alon Gal, CTO de la société de renseignement sur la cybercriminalité Hudson Rock. « Une base de données de cette taille contenant les informations privées telles que les numéros de téléphone de nombreux utilisateurs de Facebook conduirait certainement à des cybercriminels profitant des données pour effectuer des attaques d'ingénierie sociale ou des tentatives de piratage », a déclaré Gal.

La fuite de données a permis de constater que Mark Zuckerberg, le PDG de Facebook, utilise l'application Signal. Le numéro de téléphone de Zuckerberg faisait partie des données divulguées. Outre son numéro de contact, des données telles que son nom, son emplacement, les détails de son mariage, sa date de naissance et son identifiant Facebook ont également été divulgués, selon un rapport en ligne. Dave Walker, un chercheur en sécurité, a révélé que Zuckerberg utilise Signal, information qu’il a obtenu grâce au numéro de téléphone du Zuckerberg qui figurait parmi les données divulguées. C'est le numéro associé à son compte de la récente fuite sur Facebook », a publié l'expert en sécurité sur Twitter avec une capture d'écran du numéro de téléphone de Zuckerberg qui disait : « Mark Zuckerberg est sur Signal. »

Dans le cadre de la fuite du 3 avril, Facebook n'a pas informé son principal organisme de surveillance des données de l'UE lorsqu'il a découvert et corrigé le problème. La Commission irlandaise de la protection des données (DPC) l’aurait appris par la presse, comme tout le monde. Facebook n'a pas non plus informé individuellement les plus de 533 millions d'individus concernés. Au lieu de cela, Facebook a déclaré dans un billet de blog que cette fuite est une vieille histoire. Dans le même billet, l'entreprise semblait faire peser sur les utilisateurs la responsabilité de protéger les données que Facebook lui-même demandait aux utilisateurs de remettre au nom de la « sécurité ».

« Nous pensons que les données en question proviennent des profils Facebook. Les cybercriminels ont utilisé notre importateur de contacts avant septembre 2019. Cette fonctionnalité a été conçue pour aider les gens à trouver facilement leurs amis avec lesquels se connecter sur nos services en utilisant leurs listes de contacts. Lorsque nous avons pris conscience de la façon dont les acteurs malveillants utilisaient cette fonctionnalité en 2019, nous avons apporté des modifications à l'importateur de contacts », a déclaré Facebook.

« Nous l'avons mis à jour pour empêcher les cybercriminels d'utiliser un logiciel pour imiter notre application et télécharger un grand ensemble de numéros de téléphone pour voir lesquels correspondent aux utilisateurs de Facebook. Grâce à la fonctionnalité précédente, ils étaient en mesure d'interroger un ensemble de profils d'utilisateurs et d'obtenir un ensemble limité d'informations sur ces utilisateurs inclus dans leurs profils publics », a ajouté l’entreprise.

Quoi qu'il en soit, quelques jours après cet incident, Facebook a révélé qu'il avait retiré la fonctionnalité Messenger Contact Importer en septembre 2019 après avoir découvert que Solontchenko et d'autres acteurs malveillants en abusaient.

Source : plainte Facebook

[maxtal]

Ça me semble légitime de poursuivre l'auteur de ce hold-up, mais je trouve ça étonnant que facebook ne soit pas inquiété pour manquement. C'est eux qui sont responsables de l'intégrité et la sécurités des données de leurs utilisateurs il me semble.

[Jules34]

Ça me semble légitime de poursuivre l'auteur de ce hold-up, mais je trouve ça étonnant que facebook ne soit pas inquiété pour manquement. C'est eux qui sont responsables de l'intégrité et la sécurités des données de leurs utilisateurs il me semble.

Bha non justement, dans un hold up on menace, on braque et tout et tout. Quand la porte est ouverte et qu'on vient se servir c'est vraiment différent. C'est au pire une intrusion dans un système de donnée et encore, je sais pas comment est considéré le scrapping dans le pays ou les faits on été commis (d'ailleurs est ce que ça fonctionne comme ça : le mec scrappe les serveurs de fb, la juridiction qui juge est t'elle celle du pays ou sont les serveurs, celle ou la boite à son siège ou le pays ou le hackeur à hacké ?)

[Fagus]

Ça me semble légitime de poursuivre l'auteur de ce hold-up, mais je trouve ça étonnant que facebook ne soit pas inquiété pour manquement. C'est eux qui sont responsables de l'intégrité et la sécurités des données de leurs utilisateurs il me semble.

ça dépend de la culture. En France, avec l'affaire Bluetouff on avait atteint le niveau quasi-zéro. Les juges savaient à peine de quoi il s'agissait, et en cassation Bluetouff avait été condamné pour intrusion dans un système informatique, vol de données, etc., pour avoir accédé à des "données confidentielles" indexées par google sur le site de l'ANSES. Données accidentellement publiées en accès public. Les juges étrangement n'avaient pas condamné google pour intrusion alors qu'ils étaient les 1er à l'origine du "crime", ni l'ANSES pour défaut de sécurisation.
À côté de ça, un particulier dont l'IP a téléchargé un torrent est condamné pour défaut de sécurisation !

Quant à condamner l'aspiration de données publiques, ça me semble encore plus bancal. Quelle différence entre utiliser httrack (qui contient aussi quelques contre-mesures anti-bannissement) ou son propre outil ? Il y a un cas où la volonté est malveillante, mais techniquement ça se ressemble diablement, non ?

[tanaka59]

Bonjour,

1) D'un point de vu bon sens Facebook est responsable : manque d'anticipation d'un comportement frauduleux et / ou non traitement de celuic. C'est comme ci les pages jaunes laissaient faire un comportement, tout en ayant connaissance > c'est de la négligence manifeste.

2) l'auteur du scrapping a utilisé Facebook de manière détournée.

Si c'est hors charte , c'est donc condamnable.

Exemple : une société de location de vélo, verrait ses vélos utilisés à d'autres usages que ceux prévu en désactivant une borne par exemple ... > Abus de confiance . On utilise abusivement quelque chose de quelqu'un ...

[Bill Fassinou]

Meta écope d'une amende de 277 millions de dollars en Irlande pour la fuite des données d'un demi-milliard d'utilisateurs
les données de 533 millions d'utilisateurs de Facebook avaient été exposées

Le régulateur irlandais de la protection des données (Data Protection Commission - DPC) a infligé lundi une amende de 265 millions d'euros (277 millions de dollars) à géant des médias sociaux Facebook, ce qui porte à près d'un milliard d'euros le total des amendes infligées à sa société mère Meta. La pénalité résulte d'une enquête, ouverte en avril 2021, liée à la découverte d'un ensemble de données personnelles des utilisateurs de Facebook qui avait été mis en ligne. Facebook a également été condamné à prendre une série de mesures correctives afin d'éviter à l'avenir les fuites de données d'une telle ampleur.

Meta est actuellement confronté à des difficultés économiques et voit le coût de son action baissé en bourse, mais la société de médias sociaux est également toujours hantée par les scandales de fuite de données du passé. En avril 2021, la Commission irlandaise de la protection des données (DPC) a annoncé qu’elle avait ouvert une enquête pour déterminer si Facebook a violé les règles de protection des données, dans le cadre d'une fuite qui aurait exposé les données personnelles d'environ 533 millions d'utilisateurs. La DPC estimait que cette fuite pourrait constituer une violation du règlement général sur la protection des données (RGPD) de l'UE.

Un membre d'un forum de piratage a publié le 3 avril 2021 les numéros de téléphone et les données personnelles de centaines de millions d'utilisateurs de Facebook de 106 pays. Il y avait plus de 32 millions d'enregistrements sur les utilisateurs aux États-Unis, 11 millions sur les utilisateurs au Royaume-Uni, 6 millions sur les utilisateurs en Allemagne et près de 20 millions sur les utilisateurs en France. Le jeu de données comprenait leurs numéros de téléphone, identifiants Facebook, noms complets, lieux de résidence, anciens lieux de résidence, dates de naissance, biographies, situation matrimoniale et, dans certains cas, adresses e-mail.

Pour vérifier l’authenticité de ces enregistrements, les analystes avaient examiné un échantillon des données divulguées et vérifié plusieurs enregistrements en faisant correspondre les numéros de téléphone des utilisateurs Facebook connus avec les identifiants répertoriés dans l'ensemble de données. Certains ont également vérifié les enregistrements en testant les adresses e-mail à partir de l'ensemble de données de la fonction de réinitialisation du mot de passe de Facebook, qui peut être utilisée pour révéler partiellement le numéro de téléphone d'un utilisateur. Toutefois, Facebook laissait entendre que la fuite étant sans danger.

Un porte-parole de Facebook a déclaré à l'époque que les données ayant fait l'objet de fuite avaient été supprimées en raison d'une vulnérabilité corrigée par la société en 2019. Alors qu'elles datent de quelques années, les données divulguées pourraient fournir des informations précieuses aux cybercriminels qui utilisent les données personnelles des gens pour se faire passer pour eux ou les escroquer. En effet, selon les experts, une base de données de cette taille permettrait certainement à des cybercriminels de profiter des données qu'elle contient pour effectuer des attaques d'ingénierie sociale ou des tentatives de piratage.

« La Commission estime qu'il convient de déterminer si Facebook Ireland a respecté ses obligations, en tant que responsable du traitement des données personnelles, en ce qui concerne le traitement des données à caractère personnel de ses utilisateurs au moyen des fonctionnalités Facebook Search, Facebook Messenger, Contact et Instagram », avait déclaré le régulateur. La fuite de données a permis de constater que Mark Zuckerberg, le PDG de Meta (alors Facebook), utilise Signal, l'application de messagerie chiffrée plébiscitée par les experts de l'industrie. Le numéro de téléphone de Zuckerberg faisait partie des données divulguées.

Après une enquête qui a duré un peu plus d'un an, le régulateur irlandais inflige une amende de 277 millions de dollars à Meta pour violation de la vie privée. L'amende de lundi est la quatrième que la DPC inflige à l'une des entreprises qui composent le groupe Meta. Le DPC est le principal organisme de réglementation de la protection de la vie privée de Meta au sein de l'Union européenne et a 13 autres enquêtes en cours sur le groupe de médias sociaux. En septembre, le chien de garde a frappé sa filiale Instagram d'une amende record de 405 millions d'euros. Toutefois, il faut noter que Meta conteste cette amende et prévoit de faire appel.

Le DPC réglemente aussi Apple, Google, TikTok et d'autres géants de la technologie en raison de la localisation de leur siège européen en Irlande. Elle a actuellement 40 enquêtes ouvertes sur ces entreprises, dont les 13 impliquant le groupe Meta. Le régulateur irlandais a déclaré dans un communiqué que les autres régulateurs européens concernés avaient approuvé la décision rendue lundi. Rappelons que le mois dernier, le régulateur irlandais a partagé avec ces homologues de l'UE un projet de décision dans le cadre du système de "guichet unique" de l'Union européenne pour la réglementation des grandes multinationales.

La DCP a le pouvoir d'imposer des amendes allant jusqu'à 4 % du chiffre d'affaires mondial d'une entreprise dans le cadre du régime de "guichet unique" du RGPD. La DCP a déclaré que les facteurs atténuants de la décision de lundi comprenaient les mesures prises par Facebook. Par ailleurs, la nouvelle amende intervient alors que Meta fait face à des difficultés économiques qui l'ont poussé vers une restructuration complète de l'entreprise. Meta a récemment licencié 11 000 emplois, soit 13 % du nombre total de ses salariés. Zuckerberg a reconnu s'être trompé sur les prévisions en matière de croissance post-pandémique.

Meta ne figure plus dans le Top 10 des entreprises les plus valorisées. L'entreprise a perdu 513 milliards de dollars de capitalisation boursière en quelques mois. Meta, qui était autrefois la sixième plus grande entreprise mondiale en matière de capitalisation boursière a perdu la confiance des investisseurs après des investissements massifs dans son métavers Horizon Worlds, qui attire finalement peu de monde. La déroute a également eu un impact sur la fortune personnelle de Zuckerberg. Sa valeur nette sur papier a chuté au cours des récentes difficultés de l'entreprise.

Source : La Commission irlandaise de la protection des données

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi

L'Irlande ouvre une enquête RGPD sur Facebook, suite à la fuite de données qui a exposé 533 millions de contacts, elle encourt une sanction financière allant jusqu'à 4 % de son chiffre d'affaires

La société mère de Facebook, Meta, ne figure plus dans le top 10 des entreprises les plus valorisées. Meta a perdu 513 milliards de dollars de capitalisation boursière en quelques mois

Le régulateur irlandais a proposé d'infliger une amende de 36 millions d'euros à Facebook pour manque de transparence sur le traitement des données personnelles

Une fuite de données révèle la liste noire secrète de Facebook des "personnes et organisations dangereuses", soit un total de plus de 4 000 personnes, groupes et entités diverses

Facebook ne prévoit pas d'informer le demi-milliard d'utilisateurs touchés par la fuite des données, ce serait de votre faute si des pirates ont obtenu votre numéro de téléphone