Mauvaise nouvelle pour Facebook. Les chercheurs de l’entreprise spécialisée en cybersécurité UpGuard ont annoncé que les données de millions d’utilisateurs du célèbre réseau social de Mark Zuckerberg, Facebook ont été exposées publiquement sur des serveurs Amazon. Au total c’est 540 millions de dossiers et 22 000 mots de passe qui ont été divulgués.

Des applications tierces au coeur du problème

Deux applications sont à l’origine de cette fuite de données. En effet, l’une d’entre elles est un jeu développé par Cultura Colectiva, une société mexicaine. Un dossier de 146 Go, contenant 540 millions d’enregistrements de données Facebook à savoir, commentaires, likes, noms des comptes, identifiants a été délibérément publiés sur un serveur Amazon S3. Les chercheurs d’UpGuard ont tenté de contacter la société à deux reprises, sans réponse. À savoir que Cultura Colectiva est une société de média importante (plus de 3M de fans sur Facebook) qui édite un site éponyme enregistrant plus de 6M de visiteurs par mois. Un genre de MinuteBuzz, mais en mieux.

La seconde fuite de données provient d’une ancienne application intégrée à Facebook nommée « At the Pool ». Dans ce cas, c’est les mots de passe que les utilisateurs ont défini dans le jeu qui ont été exposés en clair. Un problème si ce dernier est le même que sur le compte Facebook…Le point positif, c’est que l’application n’est plus disponible depuis 2014.

Les données étaient stockées sur Amazon S3. Nombreux sont ceux qui ont pu télécharger les fichiers de manière très simple. On ne sait pour le moment depuis combien de temps les fichiers étaient disponibles et par combien de personnes ils ont été vus. Après avoir contacté AWS (Amazon Web Services) fin janvier, puis une nouvelle fois fin février, ce n’est finalement que ce mercredi 3 avril que la base de données de Cultura Colectiva a été sécurisée, suite aux relances de la presse. Le média a par la suite publié un communiqué sur Twitter et sur son site.

Cultura Colectiva informa: pic.twitter.com/1EaDvDvID5 — Cultura Colectiva (@CulturaColectiv) 3 avril 2019

Toutes les données accessibles au public que Facebook partage avec nous et que nous obtenons à partir des pages de fans que nous gérons comme moyen de communication numérique sont publiques, non sensibles et accessibles à tout utilisateur de Facebook. Nous utilisons cette information pour améliorer l’expérience de l’utilisateur sur notre site Web, ainsi que pour générer un contenu qui est engageant et inspirant pour nos publics. L’équipe d’UpGuard Cyber Risk a révélé que certaines de nos bases de données contenant des informations accessibles au public ont été exposées, y compris 540 millions d’interactions telles que les goûts, commentaires et réactions. Cependant, ils ne comprenaient pas d’informations privées ou confidentielles, telles que des courriels ou des mots de passe, car nous n’avons pas accès à ces données, de sorte que la confidentialité et la sécurité de nos utilisateurs n’étaient pas en danger. Nous sommes conscients des utilisations que les données peuvent avoir aujourd’hui, c’est pourquoi nous avons renforcé nos mesures de sécurité pour protéger les données et la vie privée des utilisateurs de nos pages de fans Facebook. Nous nous engageons à respecter les règles de Facebook et à protéger les données et la vie privée de nos utilisateurs à tout moment.

Réponse de communication de crise oblige. Reste à voir pourquoi et comment ces données ont atterries de la sorte sur un serveur ouvert.

Facebook et les données, une histoire sans fin

Facebook a confirmé que les données avaient été stockées sur des serveurs hébergés par Amazon. Les deux entreprises travaillent activement pour rendre invisibles ces dernières. Un porte parole de Facebook a ainsi confié « les politiques de Facebook interdisent le stockage d’informations Facebook dans une base de données publique. Une fois alertés du problème, nous avons collaboré avec Amazon pour supprimer les bases de données. Nous nous sommes engagés à travailler avec les développeurs sur notre plateforme pour protéger les données des personnes. »

Ce nouveau scandale arrive à un moment critique pour Facebook. La société est dans une situation difficile depuis presque un an suite au scandale Cambridge Analytica. La gestion des données ainsi que la confidentialité de celles-ci est de plus en plus remise en cause. Même si Zuckerberg veut rendre le réseau plus transparent et lancer une messagerie privée, chiffrée et éphémère, les efforts semblent vains.

On apprenait il y a deux semaines, que les employés de Facebook avaient eu accès à des millions de mots de passe d’utilisateurs et que la société fait l’objet d’une enquête pour avoir partagé les données des utilisateurs avec diverses sociétés. Précisons que dans ce cas, les premiers responsables sont les deux applications tierces. Cela souligne cependant, que Facebook et d’autres entreprises peuvent faire plus dans la sécurisation des données de leurs utilisateurs.