Facebook a lâché une autre bombe concernant ses utilisateurs en admettant que tous ses 2,2 milliards d’utilisateurs devraient supposer que des logiciels malveillants tiers ont compromis leurs informations de profil public.
Le mercredi dernier, le PDG de Facebook Mark Zuckerberg a révélé que "des acteurs malveillants" ont profité de l’outil "Facebook Search” sur sa plate-forme pour découvrir les identités et collecter des informations sur la plupart de ses 2 milliards d’utilisateurs dans le monde entier.
La révélation souligne une fois de plus l'échec du géant des médias sociaux de protéger la vie privée des utilisateurs tout en générant des milliards de dollars de recettes provenant de la même information.
La révélation est faite quelques semaines après la divulgation du scandale de Cambridge Analytica, où les données personnelles de 87 millions d’utilisateurs ont été incorrectement recueillies et mal utilisées par la société de conseil politique, qui aurait également aidé Donald Trump à gagner la présidentielle américaine en 2016.
Cependant, la dernière escroquerie révélée par le géant des médias sociaux sur l'abus des outils de recherche de Facebook au cours de plusieurs années affecte la quasi-totalité de ses 2,2 milliards d’utilisateurs.
Ce qui en fait, selon The Hacker News, la pire année pour le plus grand réseau social du monde. Ce qu’approuve à demi-mot Marck Zuckerberg au cours de son interview :
Il est clair maintenant que nous n'avons pas fait assez, nous n'avons pas suffisamment mis l'accent sur la prévention des abus.
Nous n'avons pas eu une vue assez large de ce qu'est notre responsabilité, et c'était une énorme erreur.
Facebook dit cependant qu'il avait désactivé la fonctionnalité (qui permet à quiconque de rechercher les utilisateurs en entrant des numéros de téléphone ou des adresses email dans l'outil de recherche de Facebook) dans la fonction de recherche de son site, qui a permis aux acteurs malveillants de pirater les informations de profil public.
Voici comment les données ont été piratées
Comme mentionné ci-dessus, la source de cette arnaque a été la fonction de recherche de Facebook, qui a été activée par défaut.
Les Hackers se sont appuyés sur le “Dark Web”, où ils divulguent des informations personnelles des utilisateurs volées à partir de piratage de données au fil des ans.
Une fois qu'ils avaient fait main basse sur les adresses e-mail et les numéros de téléphone, les pirates ont ensuite utilisé des programmes informatiques automatisés pour injecter les adresses e-mail et les numéros de téléphone dans la boîte de Facebook "Search".
Cette analyse leur a permis de connaître les noms complets des personnes associées aux adresses e-mail ou numéros de téléphone, ainsi que les informations des profils Facebook qu'ils ont choisis de rendre publics, qui comprend souvent des noms, des photos de profil, et la ville natale.
Cette information collectée était alors plus susceptible d'être utilisée par les cybercriminels pour cibler un individu particulier en utilisant l'ingénierie sociale ou d'autres cyber-attaques.
Ce que confirme Mike Schroepfer, Chief Technology Officer chez Facebook, dans un post concernant le durcissement des règles d’accès aux APIs de Facebook :
Jusqu'à aujourd'hui, les gens pouvaient entrer le numéro de téléphone d'une autre personne ou l'adresse email dans Facebook Search pour les aider à les trouver.
Cela a été particulièrement utile pour trouver vos amis dans les langues qui prennent plus d'efforts pour taper un nom complet, ou quand beaucoup de gens ont le même nom.
Cependant, les acteurs malveillants ont également abusé de ces fonctionnalités pour pomper les informations des profils publics en soumettant des numéros de téléphone ou des adresses e-mail qu'ils ont déjà par la recherche et la réinitialisation de comptes.
Compte tenu de l'ampleur et de la sophistication de l'activité que nous avons vu, nous croyons que la plupart des gens sur Facebook aurait pu avoir leur profil public piraté de cette façon.
Tout en s'excusant pour la "deuxième fois" à ses utilisateurs, Zuckerberg a déclaré que cette fonctionnalité a été immédiatement désactivée, notant que les informations de profil piraté étaient seulement limitées à ce qui était publiquement déjà visible.
Cependant, Zuckerberg a défendu la collecte des données des utilisateurs pour un modèle d'affaires, en arguant que :
Les gens nous disent que s'ils doivent voir des annonces, ils veulent que les annonces soient bonnes.
D’une part, les gens veulent des expériences pertinentes, et d'autre part il y a un certain malaise sur la façon dont les données sont utilisées.
Je pense que la rétroaction écrasante est pour avoir une bonne expérience utilisateur.
