Facebook, un nouveau jour, une nouvelle fuite ?
Facebook s’y attendait, les affaires de fuites de données basées sur le « scraping » sont parties pour durer. Le chercheur en sécurité Alon Gal a publié sur YouTube une vidéo montrant un outil permettant de relier des adresses email à des comptes Facebook, et ce même si l’utilisateur du compte Facebook ne diffuse pas cette information publiquement sur son compte.
La vidéo montre un outil permettant d’associer automatiquement des adresses email à des comptes Facebook. La vidéo uploadée par Alon Gal ne comporte aucune piste audio, mais un autre chercheur ayant eu accès à la vidéo d’origine a publié sur Twitter une retranscription du commentaire oral donné par le chercheur à l’origine de la vidéo. Celui-ci explique que cet outil est capable d’extraire jusqu’à 5 millions d’adresses email par jour.
Selon Motherboard, cet outil exploite une vulnérabilité signalée à Facebook par un chercheur anonyme. Celui-ci explique avoir contacté Facebook pour les informer de la vulnérabilité, mais en l’absence de correctif de la part de l’éditeur, il a choisi de partager des informations sur l’outil afin de pousser Facebook à corriger la vulnérabilité. Cet outil est selon le chercheur actuellement proposé sur des forums cybercriminels, qui peuvent l’utiliser pour récupérer les adresses email de comptes Facebook et étoffer les bases de données rassemblant des données d’utilisateurs du réseau social. Il précise que l’outil permet de récupérer les adresses email des utilisateurs ayant réglé le paramètre de visibilité de leurs adresses email sur n’importe quel autre paramètre qu’« uniquement visible par moi ».
Selon un porte-parole de Facebook, l’absence de correction de cette vulnérabilité provient d’une erreur interne, la société ayant fermé le signalement de la faille sur sa plateforme de bug bounty sans la transmettre à l’équipe concernée. Facebook indique que des mesures d’atténuation ont été mises en œuvre afin de limiter la portée de la vulnérabilité et que ses équipes étudiaient actuellement les conclusions du chercheur afin de mieux comprendre le bug.
Le data scraping dans le collimateur
Comme pour les précédentes affaires de fuites de données ayant affecté Facebook, LinkedIn et Clubhouse, la technique employée peut ici s’apparenter à du scraping, c’est à dire la récupération de données plus ou moins publiques via des outils automatisés. Cette pratique est répandue, mais reste une zone grise en matière de récupération de données : les réseaux sociaux affectés rétorquent fréquemment qu’il s’agit de données publiques, qui peuvent donc être librement récupérées et exploitées par des tiers. Dans le cas de Facebook néanmoins, une partie des données récupérées par ce biais sont exploitées grâce à des failles de sécurité de son reseau social, qui permettent de contourner les paramètres de confidentialité choisis par les utilisateurs.
La question du scraping est également un sujet controversé d’un point de vue juridique. Dans une affaire datant de 2017, LinkedIn avait ainsi assigné en justice la société hiQ, qui s’adonnait à de la collecte massive d’information publique sur son réseau. La justice américaine avait finalement donné raison à hiQ, estimant que les informations publiques étaient librement exploitables par un tiers.
En Europe, le RGPD précise que l’exploitation des données personnelles d’un utilisateur ne peut se faire sans son consentement. En 2019, la CNIL avait procédé à plusieurs enquêtes portant sur des sociétés spécialisées dans ce type de collecte et avait constaté plusieurs manquements à la législation sur la protection des données, notamment l’absence d’information et de recueil de consentement des personnes concernées. Dans tous les cas, le scraping sauvage à des fins malveillantes et l’exploitation de failles permettant de contourner les paramètres de confidentialité semblent difficiles à défendre.
