Download_on_the_App_Store_Badge_FR_RGB_blk_100517

Les chercheurs alertaient depuis plusieurs années sur la vulnérabilité de données chez Facebook

  • Recevoir tous les articles sur ce sujet.

    Vous suivez désormais les articles en lien avec ce sujet.

    Ce thème a bien été retiré de votre compte

Les chercheurs alertaient depuis plusieurs années sur la vulnérabilité de données chez Facebook
Mark Zuckerberg lors de la 56e conférence de Munich sur la sécurité en février 2020. © Sven Hoppe/picture alliance via Getty Images

Facebook a corrigé en août 2019 une faille de sécurité qui avait permis à des pirates de récupérer les données de plus de 500 millions d'utilisateurs dans son application. Mais l'entreprise avait été avertie des risques des outils qui ont permis l'exfiltration des données des années avant qu'elle ne prenne enfin des mesures.

Et lorsque des chercheurs en sécurité ont signalé une vulnérabilité presque identique sur WhatsApp, propriété de Facebook, un mois seulement après cette correction, Facebook a d'abord nié le problème — avant de prendre des mois pour tenter de le résoudre.

À lire aussi — Facebook dénonce des 'acteurs malveillants' et rappelle que les données volées datent de 2019

Insider s'est entretenu avec des chercheurs en sécurité et a passé en revue la littérature universitaire qui a montré que Facebook avait été mis en garde à plusieurs reprises, dès 2012, contre les risques de récupération de données via ses différents outils de recherche de numéros de téléphone. La semaine dernière, Insider a rapporté que les données personnelles de 533 millions d'utilisateurs avaient été volées au réseau social via ces outils et publiées en ligne. Ces données Facebook comprenaient des numéros de téléphone, des localisations et d'autres informations personnellement identifiables.

Ces incidents illustrent la façon dont des fonctions essentielles des produits Facebook ont permis une utilisation abusive des données et soulèvent des questions sur la façon dont l'entreprise évalue la gravité des menaces pesant sur les données des utilisateurs, ainsi que sur la manière dont elle communique sur ces problèmes dans ses différents produits.

"Au fil des ans, nous avons travaillé avec la communauté de la sécurité pour améliorer les mesures qui protègent la vie privée des gens, quelle que soit la probabilité de la menace", a affirmé Joe Osborne, porte-parole de Facebook, dans un communiqué. "Comme on l'a vu avec LinkedIn, aucune entreprise ne peut éliminer complètement le scraping (l'extraction de contenus, NDLR), mais nous pouvons tous renforcer nos défenses. WhatsApp a apporté des changements côté serveur pour aider à prévenir la possibilité d'exercices de crawling à grande échelle comme ceux décrits dans le rapport. Et Facebook a apporté des modifications à la fonction d'importation de contacts pour rendre le scraping plus difficile."

À lire aussi — Instagram : de sa création à son rachat par Facebook, 8 anecdotes que vous ignorez sûrement

Un demi-milliard de données d'utilisateurs volées

Le problème est centré sur la façon dont Facebook permet aux utilisateurs de rechercher des contacts par le biais de leurs numéros de téléphone — et en particulier par le biais de son outil "importateur de contacts".

Celui-ci permet aux utilisateurs de télécharger leurs carnets de contacts contenant les numéros de téléphone de leurs amis et contacts, afin de voir s'ils sont présents sur l'application, d'afficher des informations à leur sujet et de les ajouter comme amis. Des versions de cet outil ont existé tant pour Facebook que pour WhatsApp.

Les attaquants pouvaient, selon les chercheurs, créer un faux carnet de contacts contenant des numéros hypothétiques, puis récolter les données personnelles des personnes réelles auxquelles ces numéros correspondaient.

C'est exactement ce qu'il s'est passé peu de temps avant août 2019. Un attaquant non identifié a volé les données personnelles de 533 millions de personnes à Facebook, avant qu'Insider ne rapporte la semaine dernière que ces données sont maintenant librement disponibles en ligne. Après avoir détecté une activité malveillante en 2019, l'entreprise a apporté des modifications à la fonctionnalité en août de la même année pour l'empêcher, a écrit l'entreprise dans un billet de blog cette semaine. Quant à savoir si ce gigantesque vol de données a déclenché la correction, la question reste en suspend.

À lire aussi — Facebook commence à tester Hotline, son concurrent de Clubhouse

Mais bien avant l'attaque de 2019, ces risques de sécurité étaient bien connus du secteur. Les chercheurs avaient beaucoup écrit sur la façon dont les techniques de "scraping" automatisées pouvaient être utilisées pour récolter des données personnelles sur les plateformes en ligne. Et au moins dès 2012, des universitaires ont mis en garde contre les outils de recherche de numéros de téléphone spécifiques ouverts aux abus, et ont démontré avec succès comment de telles attaques fonctionnaient à la fois sur WhatsApp et Facebook.

Un article universitaire préparé pour le Network and Distributed System Security Symposium en 2012 a évalué la sécurité de WhatsApp, deux ans avant son acquisition par Facebook. Les chercheurs ont découvert qu'en générant des numéros de téléphone aléatoires, ils étaient en mesure de télécharger un carnet d'adresses de 10 millions de numéros potentiels — soit tous les numéros de l'indicatif régional de San Diego, en Californie — à partir de l'application de messagerie, ce qui a permis d'obtenir 21 095 numéros qui utilisaient WhatsApp, ainsi que leurs bios "À propos".

Cinq ans plus tard, une autre équipe de chercheurs a signalé qu'un autre outil de recherche de numéros de téléphone de Facebook était vulnérable. Ils ont utilisé l'outil de recherche du réseau social et des centaines de milliers de numéros aléatoires pour obtenir les données de plus de 80 000 utilisateurs, notamment "les amis, la ville actuelle, la ville d'origine, l'éducation, la famille, le travail et les relations". Leurs conclusions ont été publiées dans ISPEC 2017 : Information Security Practice and Experience.

À lire aussi — Fuite des données Facebook : voici comment savoir si votre numéro de téléphone a été publié

Une façon de s'attaquer à ces problèmes est de limiter le débit : des outils qui détectent automatiquement lorsqu'un utilisateur se livre à un nombre anormalement élevé de requêtes ou de recherches, puis les arrêtent ou les ralentissent.

"L'existence d'attaques de scraping sur WhatsApp et Facebook n'est pas en soi une révélation surprenante", a déclaré à Insider Christoph Hagen, un chercheur allemand qui a enquêté sur WhatsApp en 2019. "Cela a déjà été fait par le passé". "Il est plus surprenant que ce soit encore relativement facile lorsque nous avons essayé", a-t-il ajouté.

Facebook a encore minimisé le problème, selon les chercheurs

En 2019, un mois après que Facebook se soit attaqué au problème de la recherche de contacts sur son application principale, Christoph Hagen et un autre chercheur ont pris contact avec l'entreprise.

Ils avaient enquêté sur WhatsApp et avaient découvert que l'application était toujours vulnérable à l'extraction de données de contact à grande échelle. Christoph Hagen, assistant de recherche à l'Université de Würzburg, et Christian Weinert, chercheur doctoral à l'Université technique de Darmstadt, ont pu tester 50 millions de numéros de téléphone — environ 10 % de tous les numéros américains — et identifier plus de 4,5 millions d'utilisateurs de WhatsApp. Le service de messagerie avait à ce moment-là fixé des limites au nombre maximal de recherches de contacts dans un laps de temps, mais ce nombre était de 60 000 par jour, de sorte que les chercheurs ont quand même pu vérifier des millions de numéros en un peu plus d'un mois.

Ils ont pu obtenir les photos de profil des utilisateurs et les biographies "À propos", qui pouvaient être exploitées pour obtenir des informations sur l'identité des utilisateurs. Contrairement à la fuite de données de Facebook en 2019, cela n'incluait pas les noms complets, les dates de naissance ou la localisation, ni les messages envoyés par WhatsApp. Cependant, les infos pourraient être combinées avec d'autres ensembles de données ayant fait l'objet d'une fuite et circulant sur Internet pour établir des profils complets sur des millions de personnes.

À lire aussi — Le numéro de téléphone de Mark Zuckerberg fait partie des données personnelles volées sur Facebook

Ils ont écrit à Facebook en septembre 2019 pour alerter l'entreprise sur leurs découvertes. "Cela expose les utilisateurs de WhatsApp à des spams et à la fraude, en particulier ceux qui ont des photos de profil publiques. Dans de nombreux cas, les photos de profil et le statut de l'utilisateur révèlent des informations supplémentaires, telles que le nom, le sexe, l'âge, la langue, le statut relationnel, les préférences, la foi ou la nationalité", ont-ils écrit dans un courriel consulté par Insider. "Cela est particulièrement troublant pour tous les mineurs inscrits sur WhatsApp, qui pourraient être exposés à des parties malveillantes."

La réponse initiale de Facebook a été de rejeter l'avertissement. Un membre du personnel de sécurité a répondu aux chercheurs que "beaucoup de ce que vous décrivez semble être un comportement intentionnel". L'entreprise a ensuite fermé le rapport, ajoutant : "Ce n'est pas quelque chose que nous considérons comme valable dans le cadre de notre programme de primes à la découverte de bugs. Il existe des cas d'utilisation légitimes où un utilisateur peut vouloir télécharger de nombreux contacts (par exemple, une entreprise peut avoir plus de 200 000 employés)."

Christian Weinert a déclaré qu'ils ont réussi à entrer en contact en aparté avec un membre du personnel de sécurité de Facebook, ce qui a conduit Facebook à rouvrir son rapport pour une enquête plus approfondie un mois plus tard, fin octobre.

Un porte-parole de la société a contesté l'affirmation selon laquelle elle aurait rejeté le rapport des chercheurs allemands, malgré les documents examinés par Insider qui montrent clairement que Facebook a clôturé le rapport des chercheurs dans un premier temps.

À lire aussi — Twitter, Facebook, LinkedIn, Discord... Ces 6 applis copient Clubhouse et ses salons audio

Facebook a finalement apporté des modifications à ses systèmes en 2020 pour mieux détecter et prévenir le scraping à grande échelle sur WhatsApp. Le calendrier exact de cette correction n'est pas clair : un porte-parole de Facebook a déclaré que le problème avait été corrigé au début de 2020, mais n'a pas pu donner de date précise. Le 28 février 2020, l'équipe de sécurité de Facebook avait indiqué aux chercheurs par courriel que "l'effort est toujours en cours" et qu'elle "visait à mettre en œuvre [des] changements dans les prochains mois." L'entreprise a demandé des délais répétés pour la publication de l'article prévu par les chercheurs sur leurs découvertes, et leur a finalement dit en juillet 2020 qu'ils avaient corrigé le problème, près de 10 mois après l'envoi de leur rapport.

'Pas considéré comme critique'

Il reste à savoir pourquoi Facebook, lorsqu'il a travaillé pour résoudre le problème sur son application principale en août 2019, ne s'est pas également attelé à le corriger sur les autres plateformes qu'il possède, comme WhatsApp, mais a plutôt minimisé les préoccupations des chercheurs. Christian Weinert a déclaré que "compte tenu de la description officielle de Facebook... le problème est exactement le même (c'est-à-dire des limites insuffisantes concernant les mesures de protection contre l'extraction de données sur l'interface de découverte de contacts)."

Il n'est pas non plus immédiatement évident de savoir pourquoi Facebook a mis beaucoup de temps à régler le problème sur WhatsApp alors qu'il savait que les attaquants avaient déjà trouvé et exploité le problème équivalent sur son application principale. Un porte-parole de Facebook a déclaré que l'entreprise ne pouvait pas confirmer si des attaquants malveillants avaient exploité la faiblesse de WhatsApp, mais qu'ils pensaient que c'était peu probable. Ils ont ensuite ajouté que la société n'avait pas vu de preuves allant dans ce sens.

"Le fait qu'il a fallu au moins deux mois avant qu'ils ne déploient des correctifs me dit que ce problème n'a dans tous les cas pas été traité avec la plus haute priorité et n'a pas été considéré comme critique", a écrit Christian Weinert dans un e-mail à Insider. Mais, a-t-il ajouté, l'équipe de sécurité de Facebook a peut-être donné la priorité à des menaces de sécurité plus graves, et "concevoir et déployer des protections anti-scraping efficaces sans perturber l'utilisation légitime réelle sur un système de production aussi important n'est pas quelque chose qui peut se faire du jour au lendemain".

À lire aussi — Pourquoi Reporters sans frontières porte plainte contre Facebook

Christian Weinert et Christoph Hagen ont ensuite publié leurs conclusions en septembre 2020. Facebook leur a attribué 5 000 dollars (4 210 euros) via son programme de "bug bounty" pour la divulgation responsable de problèmes de sécurité, qu'ils ont reversés au groupe de défense des droits Electronic Frontier Foundation. Les chercheurs ont également identifié des problèmes similaires dans les applications de messagerie rivales Telegram et Signal, qui ont également apporté des modifications à leurs systèmes en réponse.

Le scraping est un problème qui touche l'ensemble de l'industrie

Le scraping n'est pas un problème propre à Facebook ; de nombreuses autres entreprises technologiques se sont efforcées de trouver la meilleure façon de le gérer au fil des ans. Cela a pourtant causé, à plusieurs reprises, du fil à retordre au géant des réseaux sociaux.

En 2019, Insider a rapporté que l'un des "partenaires marketing" de confiance et contrôlé de Facebook, la startup Hyp3r, exploitait des vulnérabilités sur Instagram pour récolter les données, les publications et les emplacements de millions d'utilisateurs. En réponse, elle a émis une mise en demeure contre Hyp3r et a finalement lancé un examen à grande échelle de centaines de ses partenaires.

Et en septembre 2020, Insider a rapporté comment les applications de suivi de WhatsApp exploitent l'application de messagerie pour surveiller quand les utilisateurs sont actifs, quand ils dorment et à qui ils sont susceptibles de parler sur l'application.

Version originale : Rob Price/Insider

À lire aussi — Facebook prépare une application Instagram pour les moins de 13 ans