Des pirates ont récupéré des informations personnelles issues de 29 millions de comptes Facebook, a annoncé vendredi 12 octobre le réseau social.

On pourrait penser que la faille est moins grave que prévu : Facebook avait annoncé, il y a deux semaines, que des pirates avaient dérobé les clés d’accès à 50 millions de comptes. En réalité, le réseau social ne pouvait alors dire si ces clés avaient vraiment été utilisées pour récupérer les données de tout ou partie de ces comptes.

Il reconnaît aujourd’hui que le piratage a bel et bien fait des victimes. Dans le détail, les pirates ont eu accès aux noms et aux informations de contact (numéro de téléphone ou e-mail) de 15 millions de personnes. Pour 14 millions de personnes supplémentaires, ce sont les données telles que « le nom d’utilisateur, genre, langue, statut marital, religion, ville d’origine, ville actuelle, date de naissance, les informations relatives à l’éducation et au travail, les dix derniers endroits où un utilisateur s’est géolocalisé ou a été identifié, les pages qu’il suit, et les quinze recherches les plus récentes » qui ont été récupérées par les pirates.

Des pirates aux intentions floues

Le réseau social a ouvert une enquête interne en collaboration avec le FBI, qui se poursuit. Ce dernier a d’ailleurs intimé l’ordre au réseau social de ne pas communiquer sur qui pourrait être derrière cette attaque. « Nous n’avons pas d’information sur les intentions des pirates », a expliqué Guy Rosen, vice-président produit, lors d’une conférence de presse.

Le type de données auquel les pirates se sont intéressés laisse cependant supposer que ces derniers n’ont pas agi au hasard. Ils semblent en effet s’être concentrés sur les informations de contact et les données permettant d’établir un profil sociologique ou démographique des utilisateurs. Facebook se montre également très discret sur la manière dont les victimes ont été, ou non, spécifiquement ciblées : le modus operandi décrit à ce stade par l’entreprise montre que les pirates ont choisi de n’utiliser qu’une partie des comptes auxquels ils avaient initialement accès pour poursuivre leur opération.

Le réseau social s’apprête à contacter les 29 millions d’utilisateurs dont les données ont été récupérées par les pirates. Il leur fournira des conseils, notamment pour repérer un e-mail frauduleux. Les informations récupérées sont en effet idéales pour lancer une campagne d’hameçonnage à grande échelle : cette technique qui consiste par exemple à se faire passer pour un acteur légitime (une banque) afin de récupérer un mot de passe, marche d’autant mieux qu’elle est extrêmement ciblée. Facebook a aussi mis à disposition de ses utilisateurs une page, uniquement disponible en anglais pour l’heure, pour savoir s’ils sont concernés ou non par cette fuite de données.

Lors d’un premier point d’étape sur cette enquête, Facebook avait expliqué n’avoir détecté aucun accès indu à des applications qui utilisent le réseau social pour identifier leurs utilisateurs. Facebook a confirmé vendredi que l’attaque ne concernait pas « Messenger, Messenger Kids, Instagram, WhatsApp, Oculus, Workplace, les pages, les paiements, les applications tierces ou les comptes publicitaires ou de développement ».

L’autorité de protection des données personnelles irlandaise, chargée de contrôler le respect par Facebook de la législation au nom de toute l’Europe, a annoncé quelques jours après l’ouverture d’une enquête, toujours en cours, et a laissé filtrer un certain agacement quant au manque d’informations fournies par le réseau social. Facebook s’est refusé vendredi à donner le détail par pays des victimes du piratage, mais il a dit que l’attaque avait « été plutôt large », géographiquement parlant.

Un test pour l’Europe

Ce piratage va servir de test à la nouvelle législation européenne sur les données personnelles et les autorités chargées de la faire appliquer. C’est la première fois qu’une fuite de données concerne un géant du numérique depuis l’entrée en application de ce nouveau cadre légal, en mai. Ce dernier prévoit notamment des amendes s’il est avéré qu’une entreprise n’a pas pris de mesures suffisantes pour assurer la protection des informations de ses usagers. C’est justement ce que va tenter de déterminer l’autorité irlandaise lors de son enquête.

Ce piratage ne va en tout cas rien faire pour dissiper la défiance grandissante d’utilisateurs et de responsables politiques envers la manière dont Facebook gère et protège les données personnelles. Plus tôt cette année, on apprenait qu’un sous-traitant de l’entreprise Cambridge Analytica, qui a travaillé pour la campagne numérique de Donald Trump, avait récupéré les données personnelles de 87 millions d’utilisateurs. Il ne s’agissait pas d’un piratage : les données avaient alors été obtenues de manière totalement légale via une application tierce. Elle avait toutefois plongé Facebook dans une crise sans précédent, amenant le fondateur de l’entreprise, Mark Zuckerberg, à s’expliquer devant le Congrès américain et les parlementaires européens sur la question des données personnelles.