Au cours du long week-end, des rapports ont émergé sur une présumée violation de données, impactant un demi-milliard d’utilisateurs de Facebook dans 106 pays.
Et bien que ce chiffre soit stupéfiant, l’histoire ne se résume pas à 533 millions de données. Cette brèche met une fois de plus en évidence combien de systèmes que nous utilisons ne sont pas conçus pour protéger adéquatement nos informations contre les cybercriminels.
Il n’est pas non plus toujours simple de savoir si vos données ont été compromises dans une brèche ou non.
Que s’est-il passé?
Plus de 500 millions de coordonnées d’utilisateurs de Facebook ont été publiées en ligne sur un site clandestin utilisé par des cybercriminels.
Il est rapidement apparu qu’il ne s’agissait pas d’une nouvelle violation de données, mais d’une plus ancienne qui est revenue hanter Facebook et les millions d’utilisateurs dont les données sont désormais disponibles à l’achat en ligne.
La violation de données serait liée à une vulnérabilité que Facebook aurait corrigée en août 2019. Bien que la source exacte des données ne puisse pas être vérifiée, elles ont probablement été acquises par l’utilisation abusive de fonctions légitimes dans les systèmes de Facebook.
De telles utilisations abusives peuvent se produire lorsqu’une fonction apparemment innocente d’un site Web est utilisée à des fins inattendues par des attaquants, comme cela a été le cas avec une attaque PayID en 2019.
Le directeur technologique de la société de renseignement sur la cybercriminalité Hudson Rock, Alon Gal, a découvert la fuite de la base de données, publiant des captures d’écran sur Twitter. Twitter
Dans le cas de Facebook, les criminels peuvent exploiter les systèmes de Facebook pour trouver les informations personnelles des utilisateurs en utilisant des techniques qui automatisent le processus de récolte des données.
Cette situation peut sembler familière. En 2018, Facebook a été ébranlé par le scandale de Cambridge Analytica. Là non plus, il ne s’agissait pas d’un piratage, mais d’une utilisation abusive d’une fonction parfaitement légitime de la plateforme Facebook.
Si les données ont été initialement obtenues de manière légitime – du moins, en ce qui concerne les règles de Facebook – elles ont ensuite été transmises à un tiers sans le consentement approprié des utilisateurs.
Avez-vous été ciblé?
Il n’y a pas de moyen facile de déterminer si vos données ont été violées lors de la récente fuite. Si le site web concerné agit dans votre intérêt, vous devriez au moins recevoir une notification. Mais cela n’est pas garanti.
Même un utilisateur féru de technologie serait limité à chasser lui-même les données divulguées sur des sites Web clandestins.
Les données vendues en ligne contiennent beaucoup d’informations clés. Selon le site haveibeenpwned.com, la plupart des enregistrements comprennent les noms et les sexes, et beaucoup comprennent également les dates de naissance, le lieu de résidence, le statut relationnel et l’employeur.
Bien qu’il ait été signalé que seule une petite proportion des données volées contenait une adresse électronique valide (environ 2,5 millions d’enregistrements).
C’est important car les données d’un utilisateur ont moins de valeur sans l’adresse électronique correspondante. C’est la combinaison de la date de naissance, du nom, du numéro de téléphone et de l’email qui constitue un point de départ utile pour le vol et l’exploitation d’identité.
Si vous ne savez pas pourquoi ces détails seraient précieux pour un criminel, pensez à la façon dont vous confirmez votre identité par téléphone avec votre banque, ou à la façon dont vous avez réinitialisé pour la dernière fois un mot de passe sur un site web.
Le créateur de Haveibeenpwned.com et expert en sécurité web Troy Hunt a déclaré qu’une utilisation secondaire de ces données pourrait être d’améliorer les attaques de phishing et de spam par SMS.
Comment se protéger
Étant donné la nature de la fuite, il y a très peu de choses que les utilisateurs de Facebook auraient pu faire de manière proactive pour se protéger de cette violation. L’attaque ayant ciblé les systèmes de Facebook, la responsabilité de la sécurisation des données incombe entièrement à Facebook.
Au niveau individuel, si vous pouvez choisir de vous retirer de la plateforme, pour beaucoup ce n’est pas une option simple. Cela dit, il y a certains changements que vous pouvez apporter à vos comportements sur les médias sociaux pour aider à réduire votre risque de violation de données.
1) Demandez-vous si vous devez partager toutes vos informations avec Facebook.
Il y a quelques bribes d’informations auxquelles nous devons inévitablement renoncer en échange de l’utilisation de Facebook, notamment les numéros de portable pour les nouveaux comptes (par mesure de sécurité, ironiquement). Mais il y a beaucoup de détails que vous pouvez retenir pour conserver un minimum de contrôle sur vos données.
2) Réfléchissez à ce que vous partagez
En dehors de la fuite signalée, il existe de nombreuses autres façons de récolter les données des utilisateurs de Facebook. Si vous utilisez une fausse date de naissance sur votre compte, vous devriez également éviter de poster des photos d’anniversaire le vrai jour. Même nos photos apparemment innocentes peuvent révéler des informations sensibles.
3) Évitez d’utiliser Facebook pour vous connecter à d’autres sites web.
Bien que la fonction se connecter avec Facebook soit potentiellement un gain de temps (et réduise le nombre de comptes à gérer), elle augmente également le risque potentiel pour vous – surtout si le site sur lequel vous vous connectez n’est pas un site de confiance. Si votre compte Facebook est compromis, l’attaquant aura automatiquement accès à tous les sites web liés.
4) Utilisez des mots de passe uniques
Utilisez toujours un mot de passe différent pour chaque compte en ligne, même si c’est pénible. L’installation d’un gestionnaire de mots de passe vous y aidera (et c’est ainsi que j’ai plus de 400 mots de passe différents). Bien que cela n’empêchera pas vos données d’être un jour volées, si votre mot de passe pour un site est divulgué, il ne fonctionnera que pour ce seul site.
Si vous voulez vraiment vous faire peur, vous pouvez toujours télécharger une copie de toutes les données que Facebook possède sur vous. C’est utile si vous envisagez de quitter la plateforme et que vous voulez une copie de vos données avant de fermer votre compte.
Images utilisées avec l’aimable autorisation de Pexels/Pixabay.
Cet article est republié depuis The Conversation sous une licence Creative Commons. Lire l’article original.