Question posée sur Twitter le 5 octobre 2021
Les données d’un milliard et demi d’utilisateurs de Facebook mises en vente ? L’information, sur laquelle vous nous interrogez, a circulé au moment même où une panne de plus de six heures touchait les réseaux sociaux et messageries du groupe Facebook.
La nouvelle vient de Privacy Affairs, un site qui se présente comme «un fournisseur d’informations et un créateur de contenu dont la mission est de vous aider à comprendre comment protéger vos données privées». Lundi, son créateur publie un article dans lequel il rapporte qu’une base de données répertoriant les informations personnelles d’1,5 milliard d’utilisateurs Facebook aurait été mise en vente sur un forum de pirates informatiques, soit «la plus grosse quantité de données Facebook jamais mise en circulation à ce jour». Cette base contiendrait les noms, adresses mail, numéros de téléphone, localisations, sexes et identifiants associés aux comptes concernés.
Les données auraient été obtenues à l’aide d’un «scraping». «Un procédé informatique consistant à collecter des données sur une page web, grâce à un script, c’est-à-dire un programme conçu pour effectuer une tâche précise, détaille Numerama. En l’espèce, le programme automatise l’aspiration d’informations qui entrent dans son radar, selon les instructions contenues dans ses lignes de code.» Cette technique est peu complexe, car elle ne permet de capter que des données visibles sur Internet.
Aucun lien avec la panne
Très vite, d’autres relaient l’information, en la passant à l’affirmative, et en suggérant parfois l’existence d’un lien avec la panne des serveurs Facebook. «[ALERTE] Les données d’1,5 milliard d’utilisateurs Facebook (en panne) ont été mises en vente sur un site de hacking», écrit ainsi le compte Twitter d’actualité la Plume Libre, en accompagnent son tweet, du hashtag #facebookdown.
🖲 [ALERTE] Les données d'1,5 milliard d'utilisateurs #Facebook (en panne) ont été mises en vente sur un site de #hacking. Les données volées contiennent les noms, emails, localisations, numéros de téléphone, genre... (Privacy Affairs) #instagramdown #facebookdown
— La Plume Libre (@LPLdirect) October 4, 2021
Non seulement l’article de Privacy Affairs n’a aucun lien avec la panne, qui est survenue quelques heures après sa publication, en tout début d’après-midi. Mais l’existence d’une telle base de données pouvant être achetée par tout un chacun n’est pas à cette heure avérée.
Le site à l’origine de l’information est «peu connu, et n’est pas une référence en matière de sécurité informatique», souligne Baptiste Robert, chercheur en cybersécurité. L’article, qui plus est, est basé sur une seule annonce postée sur le forum en ligne «Red Forum», fréquenté par des pirates informatiques. Des données s’y vendent et s’achètent «tous les jours», selon le spécialiste. «Tout le monde peut écrire ce qu’il veut sur ce forum, que ce soit vrai ou faux.»
Pedigree des vendeurs
Conclusion : «L’information sort d’un site un peu obscur, se base sur rien de fiable, et n’est confirmée par aucune personne qui aurait eu les données en main.» Avant de la relayer, il aurait fallu prouver plusieurs éléments, explique Baptiste Robert. Et en premier lieu, que l’auteur du post possède bien les données qu’il prétend vendre.
Car plusieurs utilisateurs se sont manifestés sur le Red Forum pour dénoncer une arnaque. Certains d’entre eux expliquent avoir versé une somme au vendeur sans jamais avoir reçues les données promises. Le pedigree des vendeurs est aussi important pour jauger du sérieux des ventes, insiste Baptiste Robert : «Ont-ils déjà vendu des données ? Sont-ils connus pour le faire ?» Ici, on a affaire à un profil plusieurs fois accusé d’être «pas fiable du tout».
Dans une mise à jour de son article, mardi, Privacy Affairs dit avoir contacté le vendeur, qui indique travailler pour une entreprise spécialisée dans la récupération de données sur Facebook. Celui-ci, est-il écrit, «a nié les accusations d’escroquerie, et continue d’affirmer que les données sont réelles. Le vendeur a indiqué qu’il était prêt à coopérer avec les administrateurs du forum en vue de prouver l’authenticité des données».
«Conglomérat de plusieurs fuites»
Par ailleurs, «il est monnaie courante que la personne voulant vendre des données en mette un échantillon». Baptiste Robert n’en a pas vu passer. Privacy Affairs évoque, de son côté, «des échantillons présentés sur le forum» censés prouver l’existence d’une base et suggère que les données comprises dans la base seraient inédites. L’auteur de l’article précise qu’il a procédé au recoupage des échantillons «avec les fuites connues de la base de données Facebook», ce qui n’a donné lieu à aucune correspondance.
Mais au vu du gigantisme de la prétendue base («on parle d’une archive qui contiendrait une ou plusieurs données personnelles de plus d’une personne sur sept vivant sur Terre — bien qu’il existe aussi sur Facebook beaucoup de faux comptes», note le site Numerama), les experts n’adhèrent pas à l’hypothèse de sa nouveauté. «Récupérer autant de données en passant inaperçu, cela prend du temps, pointe Baptiste Robert. Ce 1,5 milliard de données, c’est forcément un conglomérat de plusieurs fuites intervenues à différents moments, sur plusieurs années.»
Le chercheur observe d’ailleurs de nombreuses similitudes entre les informations personnelles dont il est question et d’autres récemment mises en ligne par des hackers. Le recyclage d’anciens scraps est courant et en partie dû, signale Baptiste Robert, à une surenchère entre les vendeurs : «L’avantage va à celui qui a la plus grosse base.» Ce qui les pousse aussi à recourir à des données extérieures à Facebook, ou même fictives. Le spécialiste de la cybersécurité cite en particulier «plusieurs cas dans lesquels les données étaient générées de manière aléatoire».
«Un fichier daté du 22 septembre»
Numerama apporte un autre élément semant le doute sur la véracité de l’information. Son auteur a ainsi remarqué que «le tout premier message concernant la mise en vente d’un tel fichier date du 22 septembre». «Cela ferait donc quasiment deux semaines qu’un fichier contenant des informations personnelles sur plus de la moitié des comptes Facebook du monde serait en vente librement sur Internet. Sans que cela n’ait provoqué de réaction nulle part», s’étonne le site spécialisé en actualité du numérique.
Même si à ce stade, on ne peut assurer non plus que la base d’1,5 milliard de données n’existe pas, il faut rester prudent sur l’information diffusée par Privacy Affairs. Même si elles sont librement accessibles sur le Net, les données supposément présentes dans la base sont protégées par la loi et leur diffusion tombe sous le coup du Règlement général sur la protection des données (RGPD) en vigueur dans toute l’Union européenne.
Une fois largement diffusées, ces informations personnelles peuvent être reprises à des fins peu scrupuleuses. Des agences marketing peuvent les utiliser dans le cadre de campagnes de publicité, envahissant les boîtes mail de courriers indésirables. Pire, elles sont susceptibles de tomber entre les mains de pirates informatiques malintentionnés. Ceux-ci pourraient ainsi s’en servir pour mener des attaques de phishing en glissant, dans des spams par mail, par SMS ou même dans des notifications push, un faux lien destiné à récupérer des renseignements plus confidentiels, comme le numéro de carte bleue.