La fuite de données Facebook pourrait être en dehors du champ d’application du RGPD
4 min read
Une fuite de données d’informations sur environ 533 millions d’utilisateurs de Facebook – y compris les noms de profil, les numéros de téléphone portable et les données de localisation – a incité à parler de mesures réglementaires contre la plate-forme de médias sociaux, mais en intentant une action en justice européenne. Règlement général sur la protection des données (GDPR) peut ne pas réussir ou être possible.
Selon Commission irlandaise de protection des données (DPC) – qui, en raison de la présence substantielle de Facebook en Irlande, a tôt fait de lancer une enquête sur l’incident – l’âge des données peut les mettre en dehors du champ d’application du RGPD.
Dans un communiqué, la DPC a expliqué: «Des ensembles de données précédents ont été publiés en 2019 et 2018 concernant un grattage à grande échelle du site Web de Facebook, qui, au moment où Facebook l’a informé, s’est produit entre juin 2017 et avril 2018 lorsque Facebook a fermé une vulnérabilité dans son fonctionnalité de recherche de téléphone. Étant donné que le grattage a eu lieu avant le RGPD, Facebook a choisi de ne pas le notifier en tant que violation de données personnelles en vertu du RGPD.
«L’ensemble de données nouvellement publié semble comprendre l’ensemble de données original de 2018 (pré-GDPR) et combiné avec des enregistrements supplémentaires, qui peuvent provenir d’une période ultérieure.»
La DPC a déclaré que Facebook lui avait dit que l’ensemble de données semblait avoir été collecté par des tiers et provenir potentiellement de plusieurs sources, donc une enquête plus approfondie est nécessaire pour l’aider dans son enquête. Il est entendu que Facebook coopère pleinement à cet égard.
Le RGPD prévoirait une amende maximale en vertu du droit de l’UE de 20 millions d’euros ou 4% du chiffre d’affaires annuel, et en vertu du droit britannique de 17,5 millions de livres sterling ou 4% du chiffre d’affaires annuel, selon le montant le plus élevé. Aux États-Unis, sous Règles de confidentialité de référence de la Californie, le procureur général de l’État peut demander des amendes de 2 500 $ par violation. Si elles sont imposées, les amendes pourraient atteindre des milliards.
Les données en question sont apparues sur un forum souterrain dès janvier 2021, selon Alon Gal, co-fondateur et CTO de Hudson Rock, une société de renseignement de sécurité basée en Israël. Gal a présenté des preuves suggérant qu’un utilisateur du forum a maintenant créé un bot qui permet aux utilisateurs d’interroger la base de données pour une somme modique, ce qui augmente la possibilité qu’il soit coopté dans diverses cyber-arnaques.
De nombreux observateurs ont déclaré que la fuite entraînerait presque inévitablement une augmentation marquée des tentatives de fraude du type qui cible principalement les consommateurs, tels que smishing (hameçonnage par SMS) attaques, qui ont considérablement augmenté au cours des 12 derniers mois.
Jacinta Tobin, vice-présidente de Proofpoint Cloudmark opérations, a déclaré que de telles escroqueries par SMS utilisant une image de marque frauduleuse pour obtenir une marque pour cliquer sur un lien étaient souvent plus efficaces que les e-mails de phishing.
«Les consommateurs font confiance à la messagerie mobile, et ils sont beaucoup plus susceptibles de lire et d’accéder aux liens contenus dans le texte que dans les e-mails», a déclaré Tobin.
«Ce niveau de confiance associé à la portée des appareils mobiles rend le canal mobile mûr pour la fraude et le vol d’identité… Les consommateurs doivent être très sceptiques à l’égard des messages mobiles provenant de sources inconnues. Et il est important de ne jamais cliquer sur les liens dans les messages texte, aussi réalistes soient-ils.
«Si vous souhaitez contacter le prétendu fournisseur qui vous envoie un lien, faites-le directement via son site Web et entrez toujours manuellement l’URL. Pour les codes d’offre, saisissez-les également directement sur le site. Il est également essentiel que vous ne répondiez pas à des textes étranges ou à des textes provenant de sources inconnues. Cela confirmera souvent que vous êtes une vraie personne aux futurs escrocs », a-t-elle déclaré.
Alexander Moiseev, directeur commercial chez Kaspersky, a conseillé aux utilisateurs de Facebook de faire plus attention aux informations qu’ils fournissent aux plateformes de médias sociaux.
«Bien que nous soyons habitués à laisser différentes informations sur nous-mêmes sur Internet, nous devons toujours contrôler ce que nous voulons vraiment rendre public et ce que nous ne voulons pas», a déclaré Moiseev.
«C’est pourquoi il est important de comprendre comment nos données peuvent être utilisées si elles apparaissent entre de mauvaises mains – pour le phishing, l’ingénierie sociale ou la prise de contrôle de compte. Et, si cela se produit, il est important d’être préparé et d’utiliser une protection dédiée sur nos appareils. »
Suite à des niveaux d’intérêt sans précédent, les numéros de téléphone divulgués sont désormais consultables sur HaveIBeenPwned (HIBP) – la première fois que HIBP a inclus des numéros de téléphone dans ses données.
Les utilisateurs de Facebook concernés sont invités à utiliser le service HIBP établi de longue date et de confiance, par opposition à l’un des nombreux autres sites qui ont vu le jour dans les jours qui ont suivi la fuite, dont certains peuvent être eux-mêmes des tentatives de phishing.
