DE | FR
Le «Facebook-Leak», ce n'est pas comme le vol d'un annuaire téléphonique.
Le «Facebook-Leak», ce n'est pas comme le vol d'un annuaire téléphonique.Image: KEYSTONE

Fuite de données Facebook: 3 raisons pour ne pas les prendre à la légère

Avec la récente fuite de données du célèbre réseau social, les escrocs ont reçu un joli cadeau. On vous aide à comprendre comment un simple numéro de téléphone portable peut être utilisé à mauvais escient.
Diese Story ist auch auf Deutsch verfügbar. Zur Story
09.04.2021, 06:2109.04.2021, 15:21
Petar Marjanović
Petar Marjanović
Petar Marjanović
Suivez-moi

«Ce n'est qu'un annuaire téléphonique»: voici les commentaires qui ont émergé, suite à la fuite de données de Facebook. Cette phrase banalise le fait que, depuis la semaine dernière, un demi-milliard de numéros de téléphone portable, de noms, de prénoms ou encore d'autres données personnelles, telles que le lieu de résidence, l'adresse électronique et la date de naissance, circulent sur l'internet.

La référence à un annuaire téléphonique n’est pas sans fondement: il y a quelques années, il existait en effet d'épaisses brochures contenant les coordonnées, l'adresse et dans certains cas, la profession de millions de personnes en Suisse. Ils étaient librement accessibles dans les cabines téléphoniques et pouvaient être commandés pour quelques francs.

La comparaison est, cependant, peu pertinente, c’est du moins ce que pensent plusieurs informaticiens. Une personne, souhaitant rester anonyme, déclare: «Si vous avez le numéro de téléphone portable d'une personne, vous pouvez faire beaucoup de choses». Avec d'autres informations telles que le nom, le lieu de résidence, le lien vers le profil Facebook, les fraudeurs reçoivent un «très joli cadeau», et ce, gratuitement.

Mais à quoi ont-ils réellement accès?

L'escroquerie par ingénierie sociale

L'un des moyens est l'escroquerie par ingénierie sociale (social engineering). Il s'agit également de l'option la plus puissante, car elle cible spécifiquement les individus: les fraudeurs recueillent le plus de données possible sur une personne spécifique, dont ils veulent influencer le comportement.

Par exemple, l'identifiant Facebook peut être utilisé pour savoir à quels événements une personne «cible» s'est rendue récemment. Ces informations peuvent ensuite être utilisées pour envoyer des courriers, dans lesquels on prétend que la personne reconnaît y avoir été, ou que des photos ont été prises. Par ce biais, il est facile de s’introduire dans la vie d’autrui ou d'instaurer un climat de confiance, afin d'abuser de la confiance d'une personne «cible».

Cela peut toucher n'importe qui, mais la cible est probablement une personnalité de haut rang qui se trouve au pouvoir. L'enregistrement des données Facebook fournit aux fraudeurs une information précieuse: le lieu de travail. En quelques heures, un informaticien suisse a pu identifier environ 1600 personnes qui travaillent soit pour le gouvernement fédéral, soit pour des agences liées au gouvernement ou encore dans le monde des médias.

Parmi eux, des centaines de personnes travaillant pour le fabricant d'armes d'Etat, Ruag, et plus d'une douzaine de personnes travaillant pour les ministères des Finances, de l'Intérieur ou des Affaires étrangères. Ils comprennent également des membres du pouvoir judiciaire, des conseillers du gouvernement et des employés des services de renseignement.

Dans le pire des cas, ils pourraient être mis sous pression par des situations de stress artificielles - par exemple, en inventant des enlèvements d'enfants ou des tentatives de chantage.

Dans de telles situations, les gens réagissent de manière irrationnelle et sont prompts à se plier aux exigences. Surtout, lorsqu'ils sont appelés sur leur téléphone portable privé.
Un informaticien

Création de bases de données et «doxing»

Une autre donnée a été rendue publique dans le cadre d'un prétendu «hack», au Bundestag allemand: «le doxing.» Késako? Il s'agit de la compilation de données personnelles sur internet, en vue de les publier ou de les utiliser pour d'autres fraudes.

L'énorme fuite de données de Facebook a fourni à ces activistes plus de 500 000 000 données personnelles. Si elles sont publiées, on pourrait avoir l'impression, comme dans le cas du «Bundestag hack», que quelque chose a été piraté quelque part.

Mais ces bases de données en réseau sont également utilisées par des organisations professionnelles pour envoyer des messages de spam, des offres d'assurance maladie ou d'autres publicités personnalisées.

«Ces bases de données sont désormais complétées par des millions de numéros de téléphone mobile: cela augmente massivement le potentiel d'abus.»
Hernâni Marques, militant des réseaux et expert en protection de la vie privée.

Localisation par téléphone mobile

La troisième raison est également particulièrement délicate: le téléphone portable pourrait devenir une sorte de «traceur GPS». Ce danger est basé sur le fait qu'un téléphone mobile communique avec des antennes et est porté sur le corps d'une personne cible.

La technologie qui se cache derrière cela s'appelle: «Signalling System 7» ou SS7 en abrégé. Elle présente des failles de sécurité connues et peut être exploitée à des fins d'espionnage, dans les pays où ces failles n'ont pas été comblées. Les fraudeurs peuvent se placer entre le téléphone mobile et le mât radio, et mener des attaques, écouter les conversations et déterminer la position d'une personne avec la précision du mât radio.

Cela vous paraît absurde? Ce n'est pas le cas. Selon des recherches menées par le Süddeutsche Zeitung et le WDR, la NSA américaine a pu mettre sur écoute le téléphone portable de la chancelière allemande Angela Merkel, en utilisant une vulnérabilité SS7. Les personnes impliquées dans la politique étrangère suisse pourraient également être victimes de telles attaques: des dizaines d'employés du Département fédéral des Affaires étrangères et même un ancien numéro de téléphone portable du conseiller fédéral Ignazio Cassis ont été trouvés dans la fuite sur Facebook. Le ministre des Affaires étrangères a déjà voyagé cette année dans plusieurs pays, où des normes différentes s'appliquent en matière de sécurité des téléphones portables.

Les attaques SS7 sont toujours techniquement possibles et montrent la valeur d'un numéro de téléphone mobile. Il ne peut pas être simplement comparé à un numéro de téléphone - le téléphone portable nous accompagne dans la vie de tous les jours.
Hernâni Marques, expert de la sécurité numérique.

Hernâni Marques, militant des réseaux et expert en protection de la vie privée, appelle donc à un renforcement des lois sur la protection des données: «Les possibilités des autorités sont réduites après de telles fuites et ne mènent généralement nulle part. En partie, également à des fins politiques, afin de rester attractif pour les sociétés Internet.»

L'absurdité de cette situation peut être constatée dans un article récent de heise, où la question de savoir quand exactement la dernière fuite de données chez Facebook a eu lieu est abordée. Le moment choisi pourrait déterminer les conséquences auxquelles l'entreprise devra faire face. Facebook semble avoir pris des précautions, selon l'article: durant l'été 2019, le groupe a payé une amende de cinq milliards de dollars aux États-Unis, pour toutes les violations de données avant le 12 juin 2019.

Et en Europe ? L'autorité irlandaise responsable de la protection des données a annoncé l'ouverture d'une enquête.

Adapté de l'allemand. Le texte original ici.

Après un sujet compliqué, voici des chats moches...

1 / 13
Après un sujet compliqué, voici des chats moches...
source: imgur
partager sur Facebookpartager sur Twitterpartager par WhatsApp

Plus d'articles «Actu»

A Bâle, le procès pour viol n'a pas fini de faire parler

Link zum Artikel

Le nouvel outil anti pédocriminalité d'Apple est accusé d'espionnage

Link zum Artikel

Profitez de la nouvelle saison de La Casa de Papel… car c'est la dernière

Link zum Artikel

La mort d'un prêtre provoque une crise politique en France

Link zum Artikel
3 Commentaires
Comme nous voulons continuer à modérer personnellement les débats de commentaires, nous sommes obligés de fermer la fonction de commentaire 72 heures après la publication d’un article. Merci de votre compréhension!
3
Le M777, cet obusier qui terrorise les Russes et que Poutine veut détruire
L'armée russe veut détruire les obusiers M777 utilisés par les Ukrainiens. Cette artillerie lourde serait en partie responsable de leur défaite sur le front de l'Est.

L'Ukraine compte de plus en plus sur les armes lourdes fournies par les pays de l'Otan. L'obusier tracté M777 de 155 mm, livré par les États-Unis, en est un exemple. Cette pièce d'artillerie aurait contribué à repousser les Russes jusqu'à la frontière près de Kharkiv, selon un membre du ministère américain de la Défense.

L’article