Facebook a revu ses chiffres à la baisse. Le 28 septembre, le réseau social annonçait que les comptes de 50 millions d’utilisateurs avaient été piratés à l’aide d’un programme automatisé. Vendredi dernier la firme de Mark Zuckerberg a ramené le nombre de comptes exposés à environ 29 millions rapporte Reuters. Facebook a par ailleurs indiqué qu’elle enverrait un message aux utilisateurs concernés au cours des prochains jours pour leur dire quelles informations avait été consultés lors de l’attaque. Selon les derniers détails fournis, les profils de 14 millions d’utilisateurs ont été subtilisés, les hackers disposent ainsi de leur date de naissance, du nom de leur employeur, de leurs antécédents scolaires, de leurs préférences religieuses, du type d’appareil qu’ils utilisent pour se connecter, des pages qu’ils suivent, de leurs recherches récentes et de leurs enregistrements de localisation. Pour les 15 autres millions d’utilisateurs, seuls le nom et les coordonnées ont été dérobées. En outre, les pirates informatiques ont pu consulter les publications et les listes d’amis et de groupes d’environ 400.000 personnes.
Le nombre d’utilisateurs concernés a été réduit après une étude de l’activité des comptes susceptibles d’avoir été affectés. Comme on s’en doute, toutes ces personnes risquent d’être visées par des attaques de phishing ciblées.
Le vice-président Product Management de Facebook, Guy Rosen, a fait savoir que le FBI souhaitait que l’entreprise ne livre pas trop de détails sur les agresseurs en raison de l’enquête en cours. Il a par ailleurs précisé que l’attaque concernait un large éventail de personnes. Il a toutefois refusé de ventiler le nombre de personnes affectées par pays.
Les hackers ont utilisé une faille – présente depuis le mois de juillet 2017 – dans la fonctionnalité « View as » pour naviguer d’un « ami » à l’autre en partant de comptes qu’ils contrôlaient. Le problème est corrigé depuis le mois dernier.
Des experts en sécurité ont indiqué à Reuters que la découverte de la faille par Facebook s’était produite avant la promulgation le 25 mai dernier du RGPD qui impose la notification d’un vol de données dans les 72 heures suivant la découverte de celui-ci. Dans le cadre de la nouvelle règlementation, la Commission irlandaise de protection des données a ouvert mercredi dernier une enquête pour vérifier si Facebook, dont le siège européen est à Dublin, a bien respecté ses obligations. Les Etats du Connecticut et de New York aux Etats-Unis de même que la JPPC (commission japonaise de la protection des données à caractère personnel) ont également lancé des enquêtes.
Rappelons que les différents régulateurs dans le monde enquêtent depuis le mois de mars sur l’accès par le cabinet Cambridge Analytica aux profils de 87 millions d’utilisateurs par le cabinet Cambridge Analytica implqué dans les primaires présidentielles du Parti républicain américain de 2016.