En 2019, une fonctionnalité de Facebook pouvait être exploitée pour récupérer les numéros de téléphone de certains utilisateurs. Cette fonctionnalité, buguée, a été réparée, mais des hackers avaient déjà récolté les numéros. La base de données ainsi constituée s’est échangée pendant plusieurs mois sur des plateformes plus ou moins accessibles jusqu’au 3 avril.

Un utilisateur du plus célèbre des forums d’échange de données a alors décidé de publier l’intégralité du contenu de cette base — soit plus de 500 millions de lignes — en plusieurs morceaux, presque gratuitement. Un de ces morceaux contenait les numéros de téléphone de près de 20 millions d’utilisateurs français de Facebook (soit environ 50 % des utilisateurs mensuels totaux).

Depuis mardi 6 avril, n’importe qui peut vérifier si son numéro de téléphone fait partie de la fuite, ce qui répond à la première question que se sont posée les utilisateurs de Facebook. Mais une fois cette information obtenue, une autre question en découle : comment réagir ?

Comment savoir si je suis dans la base de données ?

Pour savoir si ses informations font partie d’une fuite de données, vous pouvez entrer votre numéro de téléphone sur Have I Been Pwned, un site de référence qui a fait ses preuves en 7 ans d’existence. Si vous voulez en savoir plus sur la procédure à suivre, lisez notre article dédié.

Image d'erreur

Le site « have i been pwned » accueille désormais les numéros de téléphone // Source : haveibeenpwned

Puisque Have I Been Pwned (HIPB) permet désormais de faire la vérification, nous vous conseillons de privilégier son utilisation par rapport à celle d’autres sites créés spécifiquement pour l’occasion comme « haveibeenfacebooked » ou « haveibeenzucked ». Bien qu’ils ne soient pas nécessairement malveillants, les utiliser implique de leur faire confiance, tant dans l’authenticité des données indexées, que dans le traitement des données que vous renseignerez. Difficile d’accorder cette confiance à des sites nouvellement créés par des développeurs pas forcément connus, bien que bien intentionnés. D’ailleurs, la Cnil, l’autorité française des données, ne voit pas ces outils d’un bon œil. À l’inverse, HIPB a prouvé avec le temps qu’il était référence en la matière, et a créé une relation de confiance avec ses utilisateurs et avec les autorités.

Nous vous déconseillons également d’essayer de vous procurer les données de la fuite. Posséder ce genre de fichier n’est pas anodin, et peut être sanctionné par la loi. Et pour cause : les personnes dont les données personnelles figurent dans la fuite n’ont pas donné leur consentement pour que vous les stockiez, et le fichier original a été obtenu illégalement. De plus, vous pourriez tomber dans des arnaques tendues par certains malfaiteurs.

Dernier point : Facebook n’a pas communiqué auprès des victimes au moment des faits en 2019. Ce genre de communication est pourtant le meilleur moyen de prévenir les victimes de la fuite, car l’entreprise va pouvoir détailler au cas par cas quels types de données ont fuité. HIPB, de son côté, ne peut qu’indiquer la présence ou non du numéro dans la base.

Qu’est-ce qu’un cybercriminel peut faire avec mes informations ?

La fuite de données date de 2019, autant dire qu’elle a vraisemblablement déjà été exploitée par certains cybercriminels. En revanche, sa publication sur le forum d’échange de données le plus suivi pourrait entrainer une exploitation massive par des malfaiteurs de bas étage. En conséquence, votre numéro de téléphone pourrait alimenter principalement deux types d’attaques.

Le phishing et ses déclinaisons

Les messages de phishing sont des messages frauduleux, qui usurpent le plus souvent l’identité d’une organisation connue, comme la Poste, PayPall’Assurance Maladie ou encore la Fnac. L’objectif des malfrats : vous pousser à donner vos informations personnelles de votre plein gré, grâce à un SMS rusé. Ils s’intéressent plus particulièrement à vos informations bancaires et à vos identifiants (nom d’utilisateur, mot de passe). Certains phishings sont envoyés en masse au plus grand nombre d’utilisateurs. D’autres, plus dangereux, sont taillés sur mesures pour des victimes ciblées.

Si votre numéro figure dans la fuite de données, vous pourriez donc recevoir plusieurs de ces faux messages dans les jours à venir. L’avantage, c’est que les phishings peuvent être en grande majorité évités avec quelques mesures d’hygiène numérique accessibles à n’importe qui. Le problème, c’est qu’il n’existe pas de mesure efficace pour bloquer la réception de ces messages, et que vous pourriez en être inondés. Le seul moyen de lutter contre ces phishings est de désactiver les liens vers lesquels les SMS renvoient. Ils seront en quelques sortes « désarmés ».

Faites aussi attention à une autre variante du phishing, le « ping call » : les malfaiteurs font sonner votre téléphone, mais raccrochent avant que vous ayez le temps de répondre. Ils veulent que vous les rappeliez à un numéro surtaxé, dont ils récolteront les frais.

Le SIM Swapping

C’est une attaque ciblée, dont ne devrait s’inquiéter qu’une poignée de personnes victimes de la fuite. Elle consiste à dérober le numéro de téléphone d’une victime, pour ensuite l’utiliser pour usurper son identité, ou passer des protections comme la double authentification. Pour y parvenir, les malfaiteurs piègeront votre opérateur ou bien soudoieront directement un employé. Cette manipulation vise à transférer votre numéro depuis votre carte SIM jusqu’à une carte SIM en leur possession. Ensuite, ils peuvent exploiter votre numéro, qui pourrait être le dernier élément manquant pour vider le compte en banque de votre entreprise.

Mon numéro est dans la base : quels sont mes recours ?

Une fois que votre numéro de téléphone se trouve dans une fuite diffusée aussi largement que celle-ci, considérez qu’elle fait désormais partie du domaine public. Même si les liens de téléchargement du fichier étaient fermés dans un futur proche ; même si les publications sur les forums de fuite de données étaient supprimées ; la fuite continuerait de circuler.

Il faut avoir en tête que des milliers de personnes — des cybercriminels, des forces de l’ordre, mais aussi de simples curieux  — ont pu récupérer le fichier. Les données resurgiront à intervalle régulier, dans des agrégats de bases de données, ou sous la même forme qu’aujourd’hui. Bref, oubliez l’idée de faire disparaître ces informations du web.

Pour autant, il vous reste quelques recours, des précautions plus ou moins nécessaires selon votre cas particulier :

  • N’utilisez plus ce numéro de téléphone pour les procédures de sécurité. Par exemple, arrêtez d’utiliser la double authentification par SMS avec ce numéro pour vos comptes. Privilégiez l’utilisation d’une app (comme Google Authenticator ou LastPass Authenticator), ou celle d’une clé physique, encore mieux sécurisée.
  • Changez de numéro de téléphone. C’est une mesure extrême, qui n’est pas nécessaire pour tout le monde. En revanche, plus vous représenterez un intérêt important pour les malfaiteurs, plus vous devriez considérer cette option. C’est le cas, par exemple, des dirigeants d’entreprise (comme Mark Zuckerberg, dont le numéro figure dans la base), mais aussi d’autres responsables, comme ceux des départements des ressources humaines. Si vous êtes susceptible d’être visé ou visée par une attaque ciblée, qui permettrait d’accéder au réseau ou au compte bancaire de votre entreprise, pensez-y. La majorité des opérateurs propose d’effectuer ce changement à moindres frais, mais il pourrait compliquer vos contacts pendant plusieurs semaines.
pascalnegre.png

Facebook explique très clairement comment supprimer son compte. // Source : Facebook

  • Faites valoir le droit à l’oubli auprès de Facebook. Le règlement général sur la protection des données (plus connu sous son acronyme RGPD) prévoit que toute personne puisse demander à faire supprimer ses données personnelles hébergées par un parti tiers. Facebook n’a pas de formulaire dédié à ce droit, mais si vous supprimez définitivement votre compte, il explique que  « Votre profil, vos photos, vos publications, vos vidéos, ainsi que tous les éléments que vous avez ajoutés seront définitivement supprimés. » Le réseau social donne des instructions très claires pour lancer la suppression, et précise que le processus peut prendre jusqu’à 90 jours. En revanche, même pendant cette période, les données n’apparaîtront déjà plus sur la face de Facebook visible par les utilisateurs. Après ce délai, toutes vos données personnelles devraient être supprimées des serveurs de Facebook.
une comparateur meilleur gestionnaire mdp numerama

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !