Il s’agirait de « la plus grosse quantité de données Facebook jamais mise en circulation à ce jour », selon le directeur du site Privacy Affairs, Miklos Zoltan. En effet, même s’il n’existe aucun lien avec la gigantesque panne du 4 octobre 2021, la plateforme Facebook fait au même moment l’objet d’une autre préoccupation. Privacy Affairs, qui s’estime être un fournisseur d’informations spécialisé dans la cybersécurité, a annoncé qu’une potentielle fuite de 1,5 milliard de profils Facebook s’était produite et que ces données étaient vendues sur un forum de piratage.
Ce n’est pas la première fois que la plateforme fait parler d’elle. En effet, ces phénomènes deviennent de plus en plus fréquents. Les années 2020 et 2021 ont été, sans grande surprise, parmi les pires années pour les cyberattaques. L’augmentation du volume de données générées par les utilisateurs depuis la crise sanitaire y est pour beaucoup. Des milliards de comptes Gmail, Twitter, Instagram et Facebook ont été victimes de cybercriminalité, et un nombre exponentiel de données personnelles a fuité. Cela a été le cas en avril 2021 où 500 millions d’utilisateurs Facebook ont été touchés, ou encore lorsque Gmail a subi un piratage de 3 milliards d’identifiants début 2021. Bien évidemment, l’ensemble de ces données finit en vente sur le Dark Web, endroit où les cybercriminels peuvent développer leur commerce malveillant. Dans le cas présent, les utilisateurs de Facebook pourraient une nouvelle fois en payer les frais.
Un potentiel scraping géant
Selon Privacy Affairs, un immense fichier de données contenant des identifiants, des noms, des numéros de téléphones, des mails, des emplacements, ou encore des informations sur l’identité de genre, a été mis en vente sur un forum de hackers. C’est une entreprise spécialisée dans l’extraction de données Facebook qui serait à l’origine de cette fuite. La méthode utilisée par l’entreprise serait celle du scraping.
Qu’est-ce que le scraping ? Il s’agit d’une technique qui permet d’extraire, de « gratter » des informations sur des sites web. Cette extraction se fait de manière automatique par le biais de scripts, de programmes, prévus à cet effet. Cette méthode prend en popularité ces derniers temps, de par son accessibilité et de l’enjeu commercial qu’elle représente pour les entreprises. En effet, ces dernières ne sont pas contraintes de pénétrer le réseau interne du site en question pour soustraire des données, car il est question de gratter des données librement accessibles au public. Il ne s’agirait donc pas d’un piratage à proprement parler ou d’une violation quelconque de données selon Privacy Affairs, mais d’une extraction de données auxquelles l’entreprise a pu librement avoir accès. Cependant, cette absence de violation concrète n’empêche pas les utilisateurs de voir leurs données compromises par des personnes mal intentionnées. L’utilisateur risque de voir une prise de contrôle de son compte, d’être envahi par des mails de publicité commerciales ou encore de faire l’objet d’attaques phishing en recevant de faux SMS ou de faux mails de la part d’un faux organisme.
Il faut également faire attention à une autre pratique populaire : le grattage illégal de données par le biais de faux sondages et quizz Facebook. Chaque internaute, en parcourant son fil d’actualité, a forcément dû être tenté de cliquer sur des liens tels que « quel hamburger Mc Do correspond le plus à ta personnalité ? » ou encore « découvre la personne avec qui tu vas te marier ! ». Si l’éditeur de ces sondages n’est pas connu et fiable, il s’agit souvent de moyens visant à récupérer les données personnelles des utilisateurs qu’ils vont utiliser pour accéder au sondage.
Mais savez-vous ce que valent vos données une fois mises à disposition sur le marché du Dark Web ? Afin de donner un ordre d’idée du prix auquel sont revendues ces données, Privacy Affairs a enquêté sur le marché du Dark Web pour donner un indice des prix. Par exemple, les données d’un compte Facebook hacké sont vendues 65$. Celles d’un compte Instagram sont vendues 45$, et 44$ pour un compte Netflix avec un an d’abonnement. Quant aux identifiants Gmail, ils sont revendus 80$, et une Mastercard clonée avec le code PIN vaut 25$. Une vraie mine d’or pour les vendeurs de données. C’est pour cela qu’il est important que les utilisateurs préservent au maximum les données personnelles qu’ils génèrent. En effet, le scraping de 1,5 milliard de données dont aurait été victime Facebook représente à ce jour la moitié des utilisateurs de la plateforme qui s’élèvent au nombre de 3 milliards. De quoi faire peur, mais aussi alerter sur la véracité de cette information.
Une fake news de plus ?
L’ampleur de la fuite est telle qu’elle peut en devenir douteuse. Le fichier est-il si grand ? Existe-il vraiment ? Ces informations proviennent-elles en définitive d’anciennes fuites de données déjà connues ?
En tout état de cause, la publication qui annonçait la possession et la vente de ces données a maintenant disparu du forum. Joe Osborne, porte-parole de Facebook, aurait affirmé que le réseau social était en pleine enquête et qu’il avait donc demandé le retrait de l’annonce. D’autre part, un acheteur affirme avoir payé le vendeur sans avoir jamais reçu les données. Le vendeur du forum, quant à lui, revendique la réalité de ces données en rejetant toute accusation d’escroquerie et souhaiterait coopérer avec les administrateurs du forum pour prouver l’authenticité et la nouveauté des données. Des échantillons mis à disposition sur le forum semblent d’ailleurs montrer que les données existent bel et bien, et ne proviennent pas de violation ou de grattage de données déjà existants. Mais, selon le chercheur en sécurité Baptiste Robert, le site n’est pas une référence en matière de sécurité informatique. On peut, selon lui, écrire ce qu’on veut sur le forum, ceci rendant l’annonce d’autant plus suspecte puisque ce vendeur n’avait déjà pas très bonne réputation en matière de confiance. Il faut aussi souligner qu’étant donné l’immensité de ce fichier, il semblerait douteux qu’il ne fasse pas plus polémique et que Facebook n’en informe pas lui-même ses utilisateurs. En fin de compte, il se pourrait que cette fuite soit trop grosse pour être vraie. Cependant, il est important de pouvoir agir pour protéger les données personnelles des utilisateurs en cas de réel incident.
Quelles sont les solutions ?
La portée légale du scraping laisse parfois à désirer et se doit d’être encadrée. Des données « accessibles publiquement » n’étant pas synonymes de « données publiques », restent avant tout des données personnelles. Elles impliquent alors l’application de la loi et sont protégées par plusieurs branches du droit positif, chacune à leur manière.
En effet, même si les entreprises récupèrent des données accessibles publiquement, cela doit se faire en conformité avec le Règlement Général de Protection des Données Personnelles (RGPD), avec la Loi Information et Liberté (LIL), ainsi qu’en respectant les recommandations de la Commission Nationale de l’informatique et des Libertés (CNIL). Cette pratique est également contraire à des dispositions du droit pénal, du droit de la concurrence et du droit de la propriété intellectuelle.
Tout d’abord, l’article 323-3 du Code pénal vient réprimer le fait « d’extraire, de détenir, de reproduire, de transmettre » des données d’un système de traitement automatisé de données (STAD), de manière intentionnellement frauduleuse, par une peine de « cinq ans d’emprisonnement et de 150 000 € d’amende».
Au regard du droit de la concurrence, pratiquer le scraping peut être considéré comme un acte de concurrence déloyale ou parasitaire. Ces pratiques commerciales sont retrouvées à l’article L.121-1 du code de la consommation, qui vient interdire la pratique lorsqu’ « elle altère ou est susceptible d’altérer de manière substantielle le comportement économique du consommateur normalement informé et raisonnablement attentif et avisé, à l’égard d’un bien ou d’un service ».
Par ailleurs, il est également possible de se fonder sur l’article 1240 du code civil qui prévoit que « tout fait quelconque de l’homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer », étant donné que le site web, et en particulier Facebook dans le cas présent, subit un préjudice. En effet, l’entreprise est venue en quelque sorte piller Facebook en profitant de ses capacités et de sa renommée.
D’autre part, le code de la propriété intellectuelle vient quant à lui associer le scraping avec le droit d’auteur, et dispose à son article L.342-1 que « Le producteur de base de données a le droit d’interdire l’extraction par transfert permanent ou temporaire de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu d’une base de données sur un autre support, par tout moyen et sous toute forme que ce soit ».
Enfin, le RGPD, entré en vigueur en 2018, est une norme européenne majeure en matière de protection de données personnelles. Il revendique à son article 32 que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque », en assurant « des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ». De plus, les articles 33 et 34 de ce règlement, invitent le responsable de traitement à notifier la constatation d’une violation de données personnelles à la CNIL sous 72 heures. L’objectif est de préserver les droits et libertés des personnes physiques qui se voient compromis par de tels actes frauduleux, et cela en responsabilisant les entreprises. De son côté, la CNIL recommande le respect des principes généraux tels que la nécessité de recueillir un consentement libre et éclairé de l’utilisateur concernant le traitement de ses données personnelles et de respecter son droit d’opposition.
Malgré cet ensemble de dispositions juridiques, l’enjeu reste de taille et les failles sont bien présentes. Il est important de rappeler qu’il n’existe pas seulement les dispositions légales pour tenter de préserver un maximum les données personnelles, mais qu’il s’agit aussi d’un enjeu venant engager les utilisateurs eux-mêmes. En effet, les données accessibles au public, bien qu’elles soient volontairement disponibles, n’empêchent pas l’utilisation mal intentionnée de certains hackeurs qui nuisent à la sécurité et à la confidentialité des internautes. La meilleure façon d’éviter ce genre de fuite est donc, avant tout, de partager le moins possible de données personnelles sur les sites tels que Facebook. L’objectif est d’inciter les utilisateurs à être moins négligents. Il est également judicieux de mettre ses informations en privé et ne pas les laisser s’afficher sur son profil, peu importe de quelle plateforme il s’agit. Ceci contribuerait à donner moins de matière aux entreprises pour pratiquer le scraping, et de potentiellement éviter certains dommages collatéraux. En effet, ce n’est pas parce que la fuite de 1,5 milliard de profils Facebook n’existe donc probablement pas aujourd’hui, qu’elle ne se produira pas demain.
Sources :
BECHADE C., LAUSSON J., « 6 questions sur la prétendue “fuite“ de 1,5 milliards de profils Facebook », Numerama, 5 octobre 2021, https://www.numerama.com
IGNOFFO Z., ZOLTAN M., « Dark Web Price Index 2021”, Privacy Affairs, 6 octobre 2021, https://www.privacyaffairs.com/
ZOLTAN M., “Web Scrapers Claim to Possess and Sell Personal Data on 1.5 billion Facebook Users on a Hacker Forum”, Privacy Affairs, 13 octobre 2021, https://www.privacyaffairs.com/
DE LA ROCHE SAINT ANDRE E., « Facebook : les données de 1,5 milliard d’utilisateurs ont-elles été mises en vente auprès de hackers ? », Libération, 6 octobre 2021, https://www.liberation.fr/checknews
DESZPOT T., « Gare aux messages qui lient panne de Facebook et fuite de données d’1,5 milliard de comptes », LCI, 5 octobre 2021, https://www.lci.fr/
SAINT-AUBIN T., LECONTE C., « Droit : comment faire du scraping de données en toute légalité ? », Archimag, 14 janvier 2020, https://www.archimag.com/
PLR Avocats, « Warning : Web scraping et RGPD», DATA protection – RGPD, 14 mai 2021, https://www.plravocats.fr/