«Ce n'est qu'un annuaire téléphonique»: voici les commentaires qui ont émergé, suite à la fuite de données de Facebook. Cette phrase banalise le fait que, depuis la semaine dernière, un demi-milliard de numéros de téléphone portable, de noms, de prénoms ou encore d'autres données personnelles, telles que le lieu de résidence, l'adresse électronique et la date de naissance, circulent sur l'internet.
La référence à un annuaire téléphonique n’est pas sans fondement: il y a quelques années, il existait en effet d'épaisses brochures contenant les coordonnées, l'adresse et dans certains cas, la profession de millions de personnes en Suisse. Ils étaient librement accessibles dans les cabines téléphoniques et pouvaient être commandés pour quelques francs.
La comparaison est, cependant, peu pertinente, c’est du moins ce que pensent plusieurs informaticiens. Une personne, souhaitant rester anonyme, déclare: «Si vous avez le numéro de téléphone portable d'une personne, vous pouvez faire beaucoup de choses». Avec d'autres informations telles que le nom, le lieu de résidence, le lien vers le profil Facebook, les fraudeurs reçoivent un «très joli cadeau», et ce, gratuitement.
Mais à quoi ont-ils réellement accès?
L'un des moyens est l'escroquerie par ingénierie sociale (social engineering). Il s'agit également de l'option la plus puissante, car elle cible spécifiquement les individus: les fraudeurs recueillent le plus de données possible sur une personne spécifique, dont ils veulent influencer le comportement.
Par exemple, l'identifiant Facebook peut être utilisé pour savoir à quels événements une personne «cible» s'est rendue récemment. Ces informations peuvent ensuite être utilisées pour envoyer des courriers, dans lesquels on prétend que la personne reconnaît y avoir été, ou que des photos ont été prises. Par ce biais, il est facile de s’introduire dans la vie d’autrui ou d'instaurer un climat de confiance, afin d'abuser de la confiance d'une personne «cible».
Cela peut toucher n'importe qui, mais la cible est probablement une personnalité de haut rang qui se trouve au pouvoir. L'enregistrement des données Facebook fournit aux fraudeurs une information précieuse: le lieu de travail. En quelques heures, un informaticien suisse a pu identifier environ 1600 personnes qui travaillent soit pour le gouvernement fédéral, soit pour des agences liées au gouvernement ou encore dans le monde des médias.
Parmi eux, des centaines de personnes travaillant pour le fabricant d'armes d'Etat, Ruag, et plus d'une douzaine de personnes travaillant pour les ministères des Finances, de l'Intérieur ou des Affaires étrangères. Ils comprennent également des membres du pouvoir judiciaire, des conseillers du gouvernement et des employés des services de renseignement.
Dans le pire des cas, ils pourraient être mis sous pression par des situations de stress artificielles - par exemple, en inventant des enlèvements d'enfants ou des tentatives de chantage.
Une autre donnée a été rendue publique dans le cadre d'un prétendu «hack», au Bundestag allemand: «le doxing.» Késako? Il s'agit de la compilation de données personnelles sur internet, en vue de les publier ou de les utiliser pour d'autres fraudes.
L'énorme fuite de données de Facebook a fourni à ces activistes plus de 500 000 000 données personnelles. Si elles sont publiées, on pourrait avoir l'impression, comme dans le cas du «Bundestag hack», que quelque chose a été piraté quelque part.
Mais ces bases de données en réseau sont également utilisées par des organisations professionnelles pour envoyer des messages de spam, des offres d'assurance maladie ou d'autres publicités personnalisées.
La troisième raison est également particulièrement délicate: le téléphone portable pourrait devenir une sorte de «traceur GPS». Ce danger est basé sur le fait qu'un téléphone mobile communique avec des antennes et est porté sur le corps d'une personne cible.
La technologie qui se cache derrière cela s'appelle: «Signalling System 7» ou SS7 en abrégé. Elle présente des failles de sécurité connues et peut être exploitée à des fins d'espionnage, dans les pays où ces failles n'ont pas été comblées. Les fraudeurs peuvent se placer entre le téléphone mobile et le mât radio, et mener des attaques, écouter les conversations et déterminer la position d'une personne avec la précision du mât radio.
Cela vous paraît absurde? Ce n'est pas le cas. Selon des recherches menées par le Süddeutsche Zeitung et le WDR, la NSA américaine a pu mettre sur écoute le téléphone portable de la chancelière allemande Angela Merkel, en utilisant une vulnérabilité SS7. Les personnes impliquées dans la politique étrangère suisse pourraient également être victimes de telles attaques: des dizaines d'employés du Département fédéral des Affaires étrangères et même un ancien numéro de téléphone portable du conseiller fédéral Ignazio Cassis ont été trouvés dans la fuite sur Facebook. Le ministre des Affaires étrangères a déjà voyagé cette année dans plusieurs pays, où des normes différentes s'appliquent en matière de sécurité des téléphones portables.
Hernâni Marques, militant des réseaux et expert en protection de la vie privée, appelle donc à un renforcement des lois sur la protection des données: «Les possibilités des autorités sont réduites après de telles fuites et ne mènent généralement nulle part. En partie, également à des fins politiques, afin de rester attractif pour les sociétés Internet.»
L'absurdité de cette situation peut être constatée dans un article récent de heise, où la question de savoir quand exactement la dernière fuite de données chez Facebook a eu lieu est abordée. Le moment choisi pourrait déterminer les conséquences auxquelles l'entreprise devra faire face. Facebook semble avoir pris des précautions, selon l'article: durant l'été 2019, le groupe a payé une amende de cinq milliards de dollars aux États-Unis, pour toutes les violations de données avant le 12 juin 2019.
Et en Europe ? L'autorité irlandaise responsable de la protection des données a annoncé l'ouverture d'une enquête.
Adapté de l'allemand. Le texte original ici.