Par Anne Charlotte Andrieux et Marussia Samot
Multiplication des cyberattaques, augmentation des fuites de données de plus en plus massives etc. Ces dernières années, ce sont des centaines de millions de français, particuliers comme professionnels, qui ont été touchés par cette explosion d’attaques informatiques.
C’est pourquoi, lorsque ce 6 avril 2021 l’autorité de protection des données irlandaise, sur le territoire de laquelle est établit le siège européen de Facebook, a publié sur son site web une communication annonçant la fuite de données de près de 533 millions d’individus possédant un compte sur cette plateforme, dont 20 millions de français, la réaction de la CNIL ne s’est pas faite attendre.
Il est noté qu’il ne s’agit pas de la première fuite de données pour le réseau social planétaire, puisqu’entre 2017 et 2018 une vulnérabilité avait déjà engendré la fuite de données de millions d’utilisateurs. Cet évènement ayant eu lieu avant l’entrée en vigueur du Règlement européen sur la protection des données (RGPD), Facebook avait décidé de ne pas notifier cette violation. Cette similitude se ressent pourtant aujourd’hui car l’autorité de protection des données irlandaise n’aurait toujours pas été notifiée par le réseau social de cette nouvelle violation.
Selon Facebook, le fichier actuellement accessible sur Internet serait issu d’une fuite survenue avant septembre 2019, non du fait d’une cyberattaque, mais du détournement frauduleux d’une fonctionnalité de l’application mobile du réseau social, permettant d’importer son carnet d’adresses mobile sur la plateforme afin de pouvoir retrouver ses connaissances plus facilement à l’aide de leurs numéros de téléphone. Des personnes ont alors réussi à importer une quantité importante de numéros non identifiés pour les relier à des profils utilisateurs correspondants et collecter les informations « disponibles publiquement » sur ces mêmes profils. Depuis, Facebook aurait permis de désactiver cette option, mais le mal était fait et la brèche non signalée.
Facebook justifie l’absence de notification aux utilisateurs concernés en arguant qu’au moment de la violation cette fonctionnalité était par défaut « ouverte à tout le monde » et que les données qui ont fuité correspondent à des « informations publiques ». Il était alors du rôle de l’utilisateur de paramétrer la visibilité de ses informations personnelles pour les limiter à ses seuls « amis » ou « amis d’amis » Facebook (à noter que cette option ne pouvait pas encore être désactivée). Là encore il y a lieu de s’interroger sur la nature publique des données dévoilées.
Ce data breach concernerait donc les personnes disposant d’un compte Facebook entre 2016 et 2019, soit un utilisateur français sur deux. Compte tenu du nombre de personnes impactées, la CNIL recommande tout de même de considérer tout utilisateur comme étant concerné par cette fuite de données.
La liste des données concernées n’est pas exhaustive et dépend de la nature des informations personnelles renseignées par chaque utilisateur sur le réseau social :
Les mots de passe des comptes utilisateurs et les messages privés échangés sur la plateforme ne seraient toutefois pas concernés.
Ces informations circulent désormais sur Internet. Elles se revendent à prix d’or et leur utilisation malveillante peut avoir des conséquences fâcheuses (tentatives de piratage, usurpation d’identité, ingénierie sociale, etc.).
Il est donc recommandé par la CNIL de prendre des mesures appropriées visant à prévenir tout risque futur, ainsi que de rester vigilants sur certains points.
Vérifiez dans vos paramètres de compte les informations que Facebook détient à votre sujet et pensez à consulter vos « raccourcis de confidentialité » (assistance de confidentialité > comment vous retrouver sur Facebook, qui peut voir ce que vous partagez, paramètres de vos données, comment protéger votre compte…).
Veillez à supprimer les informations qui vous paraissent sensibles ou non utiles sur vos différents réseaux sociaux, telles que votre nom de famille si le compte n’est pas à visée professionnelle, votre genre, votre lieu et date de naissance, vos opinions politiques et religieuses ou votre orientation sexuelle.
Pensez à modifier votre mot de passe, même s’il n’est a priori pas concerné par cette fuite de données, en lui préférant un mot de passe fort et unique (contenant au moins 12 caractères, une majuscule, un nombre, un signe de ponctuation ou caractère spécial).
Prenez garde aux mails et sms d’origine inconnue, notamment ceux comportant un lien ou une pièce jointe. Ils peuvent être des tentatives d’hameçonnage, soit des mails de phishing visant à récupérer vos coordonnées personnelles en usurpant l’identité d’une entreprise, d’un organisme financier, d’une administration, ou encore des mails de pharming vous renvoyant vers un site Internet contrefait aux fins de récupérer vos identifiants de connexion. Supprimez le mail ou sms frauduleux immédiatement.
En règle générale, soyez vigilants envers tout message qui semble provenir de votre banque ou de votre assurance et qui vous demande de modifier vos informations ou de procéder à un virement ; vérifiez la présence de fautes d’orthographes dans le texte ou l’adresse email de l’envoyeur. En cas de doute, avisez-vous toujours de vous connecter au site officiel en le recherchant directement dans votre barre de recherche. Il vous est également possible de contacter l’émetteur via un autre canal.
Enfin, la CNIL rappelle de penser à avertir et accompagner les personnes de votre entourage qui maitrisent peu les réseaux sociaux.
Des sites web ont été créés à cet effet et leur contenu, gratuit ou disponible pour des sommes dérisoires, serait accessible au grand public. Cependant, il vous est déconseillé de les consulter ou de télécharger quelconques fichiers comportant ces informations. En effet, ils peuvent être peu sécurisés et comporter des risques (programmes malveillants…). Veillez également à ne pas échanger de contreparties financières pour accéder à ce genre de fichiers.
De même, il est précisé par la CNIL que le téléchargement de données personnelles rendues publiques et leur potentielle réutilisation à des fins marketing est illégal et ferait encourir des poursuites.
Si vous pensez être victime d’une usurpation d’identité à la suite de ces divulgations d’informations, nous vous recommandons de :
Rappelons également que le RGPD impose aux entreprises qui constatent une fuite de données personnelles qui présentent un risque au regard de la vie privée des personnes concernées, de la notifier sous 72 heures sur le site de la CNIL, sous peine d’une sanction financière pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial : https://notifications.cnil.fr/notifications/.
Les personnes impactées doivent être signalées de cette violation dans les meilleurs délais.
La saga est loin d’être finie car après Facebook, c’est au tour de LinkedIn et de son entreprise Microsoft de faire l’objet d’une enquête de l’autorité de contrôle italienne pour fuite massive de données.
A suivre…
***
Le département cyber sécurité du Cabinet Haas Avocats, Cabinet spécialisé depuis plus de 20 ans en droits des nouvelles technologies et de la communication et en droit de la propriété intellectuelle, se tient à votre disposition pour répondre à vos questions et vous assister dans le pilotage juridique de la gestion des cyber risques. Pour en savoir plus, rendez-vous ici.