Facebook : les données perso de 533 millions d’utilisateurs publiées sur le Dark Web
Des informations personnelles au sujet de 533 millions d'utilisateurs de Facebook ont été publiées sur le Dark Web. Elles sont accessibles librement et illégalement sur un forum. Il s'agit de données correspondantes à une fuite de 2019.
Cette fuite de données contient uniquement des profils Facebook associés à un numéro de téléphone. En fait, pour chaque entrée on retrouve obligatoirement le numéro de téléphone du profil Facebook et des informations complémentaires. Toutes les informations ne sont pas présentes à chaque fois, mais on peut retrouver les données personnelles suivantes en complément du numéro de téléphone : nom, prénom, ville, genre, statut (célibataire, en couple, etc.), date de naissance, métier et dans quelques cas l'adresse e-mail.
Bien sûr, cette base de données n'est pas nouvelle puisque la fuite de données date de 2019, mais jusqu'ici elle était payante. Désormais, elle est disponible gratuitement sur un forum de hackers via le Dark Web. Un internaute l'a publiée et elle est organisée par pays, avec de nombreux fichiers à chaque fois.
Au niveau mondial, cela représente 533 millions d'utilisateurs de Facebook, mais combien de Français sont concernés ? D'après les premiers retours, il y aurait 19,8 millions de comptes liés à des utilisateurs français. C'est important puisqu'en mars 2021 il y avait 40 millions d'utilisateurs de Facebook en France.
D'après un tableau de synthèse publié par Zlatan Ivanov sur Twitter, il y aurait 99% des utilisateurs marocains concernés par cette fuite de données. Pour la Russie, ce serait 76% tandis que pour les États-Unis, c'est assez faible : 13%. Voici un aperçu :
De son côté, Facebook essaie d'éteindre l'incendie en affirmant que la faille exploitée en 2019 est bien corrigée. Puisque les données datent de 2019, elles ne sont peut-être plus valides : oui effectivement, mais pour une grande majorité il y a quand même des chances que ce soit toujours valides. On ne change pas de nom, de prénom et de numéro de téléphone tous les ans... Sans parler de la date de naissance.
Quand il y a une fuite de données, on a l'habitude de se tourner vers le site Have I Been Pwned puisqu'il permet de savoir si votre adresse e-mail est concernée ou non. Pour cette fois-ci, ce ne sera pas aussi simple : le site se base sur les adresses e-mail et non sur les numéros de téléphone. Du coup, il n'y a que les entrées de la base de données où il y a une adresse e-mail qui sont référencées.
Les adresses e-mail seront probablement exploitées dans le cadre de campagnes de phishing, d'autant plus s'il y a le nom et le prénom de l'utilisateur puisque cela permet de créer un message personnalisé. Pour les numéros de téléphone, on peut imaginer le même type d'actions malveillantes avec un lien au sein d'un SMS. Comme toujours, fuite de données ou non, soyez vigilants...
