419 millions de numéros de téléphone en libre service sur un serveur non sécurisé de Facebook

Mickaël Bazoge |

En mars, Mark Zuckerberg prenait sa plus belle plume pour révéler au monde sa vision d'un réseau social « concentré sur le respect de la vie privée ». Le patron de Facebook listait un certain nombre de grands engagements et de beaux principes pour protéger les données des utilisateurs de la plateforme. Facebook a encore beaucoup, beaucoup de travail à faire pour gagner ses galons de champion de la confidentialité.

Une bonne blague.

Une nouvelle faille de sécurité dans un serveur de Facebook a exposé les numéros de téléphone de 419 millions d'utilisateurs de Facebook, dont 133 millions basés aux États-Unis, 50 millions au Vietnam, 18 millions au Royaume-Uni, et ailleurs. N'importe quel malandrin a pu siphonner ces informations, le serveur n'étant pas protégé par un mot de passe, raconte TechCrunch.

Pour certaines victimes, on peut aussi trouver le nom et savoir si c'est un homme ou une femme. Du caviar pour les entreprises malintentionnées qui font commerce de spam téléphonique, ou encore pour mettre en œuvre des attaques de « SIM swapping » dont a été victime le patron de Twitter récemment.

Contacté, Facebook a expliqué que la base de données était ancienne et qu'elle stockait des informations obtenues avant que le réseau social ne retire la possibilité de trouver des utilisateurs avec leurs numéros de téléphone. La base a été retirée et Facebook n'a pas relevé de compte compromis. L'entreprise n'a pas précisé quand la base de données a été supprimée.

avatar Alex Giannelli | 

😍🍿🧦

avatar cecile_aelita | 

@AlexG

avatar pagaupa | 

🤮♠️🏴‍☠️

avatar  | 

Bien content de continuer de refuser de “sécuriser” mon compte avec mon numéro de téléphone à chaque fois que Facebook me le demande.

avatar macfredx | 

@

Ben, mai je suis bien content de ne pas utiliser Facebook...

avatar whocancatchme | 

@

Pareil j’ai tout le temps fais ça mais faut pas se leurrer avec WhatsApp et l’ID du téléphone ils ont vite fais le lien sans nous

avatar Clément34000 | 

C’est vraiment un truc de dingue... la double authentification via le tél est super efficace mais de l’autre côté, le numéro est lâché dans la nature... pfff

avatar Un Type Vrai | 

Pardon ?
Efficace comment ?
Donner sans rémunération une information permettant d'aglomerer et de certifier les données concernant une personne, c'est efficace.
Mais pas pour la sécurité...
(Pour ça, il existe d'autres moyens)

avatar MrMeteo | 

@Un Type Vrai

Poiurriez-vous préciser quels sont ces moyens s’il vous plaît ?
Ça peut toujours être bien de les connaître !

avatar armandgz123 | 

@MrMeteo

Par exemple, il suffit d’aller cliquer sur la notification de double authentification sur son smartphone quand on essaye de se connecter sur un PC, pas besoin de recevoir un SMS

avatar marc_os | 

@armandgz123

Ton smartphone il communique comment avec ton PC pour assurer la double authentification ?
Wifi ? Bluetooth ?
Comment s’appelle la techno ?
(Désolé, je suis un peu obsolète et ne connais que celle par SMS qui requiert un no de tel).

avatar bugman | 

@marc_os

Cela peut être de façon autonome (basé sur le temps), principe des cartes de crédits modernes.

avatar armandgz123 | 

@marc_os

Pourquoi devrait-il communiquer avec le PC ? Un code dans un SMS faut communiquer le smartphone avec le Pc ?
Un mail avec un code ou une application suffit, avec une case pour valider la connections. Après, ça communique par les serveurs du service j’imagine

avatar pomme-analogique | 

@marc_os

En ce qui me concerne, j’utilise la double authentification avec 1Password ! C’est très efficace et ça évite de devoir donner mon numéro de téléphone. Je me connecte sur Facebook, je me log avec mon email + mot de passe et 1Password me met automatiquement le code temporaire dans le presse papier, je n’ai plus qu’à le coller ... et me voilà connecté avec double authentification et sans SMS !
Je recommande !

avatar Un Type Vrai | 

La banque fourni un boitier qui permet de récupérer un code.
AWS utilise Authy, une application qui fourni un code.
La sécurité, c'est jamais de donner toutes ses infos à toutes les entreprises.
La news sur Facebook (mais je rappelle que Sony, Apple, Microsoft, Google ... Ont tous eu des piratages...) est une piqûre de rappel. Donner son numero de téléphone à Facebook, c'est le donner potentiellement à des malandrins.
Mais le truc extraordinaire, c'est qu'on donne aussi gratuitement de quoi monetiser des datas trop anonymes (le téléphone sert à consolider les données).

avatar Clément34000 | 

@Un Type Vrai

Tu veux faire payer la visibilité de ton numéro de téléphone ? lol

avatar Un Type Vrai | 

Je donne le moins possible d'infos persos à des entreprises qui les monétisent.
Question de principe.
Du coup j'ai un vieil Android sans compte Google (avec K9mail etc.)
Quand je vais sur youtube ou gmap, c'est toujours en navigation privée.
Et j'évite Chrome au maximum (sauf tests).

Mais je suis conscient que c'est débile et contraignant. Je le fais presque comme si c'était une religion (apres tous, des gens sont capables refuser de manger du porc toute une vie, pourquoi je ne tiendrai pas ma petite conviction ?)

Sur youtube par exemple, sans navigation privée, on est obligé de se connecter (disons qu'on y est tellement invité que ne pas le faire détruit l'intérêt d'y aller). Google se sert donc d'internet pour le privatiser.
C'est une tendance lourde et malheureusement je pense qu'internet n'existera plus comme l'encyclopédie ouverte de l'humanité sur l'humanité (y compris de la bêtise).
La seule résistance que j'ai, c'est éviter d'épendre mes données et naviguer en privé.
Ne lisez pas ce message comme une tentative de conversion à mes convictions, je ne suis pas évangéliste, je me contente de balayer devant ma porte (autre conviction... Rhaaaa)

Bref.

avatar Clément34000 | 

@Un Type Vrai

Wouah, tu es partis dans un sacré pèlerinage, bon courage à toi

avatar eugenemr | 
avatar Chazi | 

@Clément34000

Au delà de l’aspect vie privée, y’a énormément d’exemples qui prouvent que la 2FA via SMS n’est pas sécurisée. Une clé physique ou une appli 2FA sont mieux (Authy, 1P, etc)

avatar SyMich | 

Le dernier exemple en date étant le patron de Twitter qui s'est fait piraté son compte grâce à la sécurité 2FA...
(Des petits malins récupèrent numéro de téléphone et quelques infos vous concernant et réussissent à se faire passer pour vous pour convaincre votre opérateur téléphonique de leur reprogrammer une SIM pour des raisons bidon mais convaincante. A partir de là, le code sms de sécurisation du compte arrive sur LEUR téléphone, plutôt que sur le vôtre)

avatar Aba7 | 

Bien. Content de jamais avoir mit mon numéro et de sécuriser mon compte avec un loooooong mots de passe et plus de double authentification .

avatar pomme-analogique | 

@Aba7

Malheureusement, il y a sûrement nombreux contacts qui l’ont déjà fait pour toi... Il suffit que une de tes connaissance ait donné l’accès à son répertoire pour que Facebook connaisse tes infos ...
Je ne donne pas mon numéro à Facebook & cie, mais je suis certain qu’ils l’ont par regroupement entre les carnets d’adresses de mes contacts moins vigilants lorsqu’il s’agit de confidentialité...

avatar occam | 

« En mars, Mark Zuckerberg prenait sa plus belle plume… »

L’article a l’élégance de ne pas préciser il se la prenait.
Les lecteurs attentifs compléteront eux-mêmes.

avatar Sorabji | 

@occam

Dans le trou de nez certainement.

avatar xDave | 

@occam

Le dindon de la farce ?

avatar scanmb (non vérifié) | 

@xDave

La farce du dindon ?

avatar macfredx | 

@occam

occam, tu me fais bien rigoler ces jours-ci 😂 Merci de prolonger ma vie 😉

avatar bugman | 

@occam

Il s’en sort bien, certains se prennent carrément de petits oiseaux bleus. 😱

avatar Ginger bread | 

De toute façon quand vous créez un compte sur n’importe quelle plateforme web, celle ci peut voir une faille et vos informations personnes et mot de passe dévoilés ou pire transmis. Pour peu que vous utilisiez le même mot de passe d’autres plateformes sont atteintes et donc votre vie privée.
Badger Facebook pour une faille c’est fort surtout quand on voit qu’aucun système n’est sans faille.

avatar House M.D. | 

@Ginger bread

Certes, mais un serveur qui n’a même pas la simple sécurité qu’est un mot de passe, accessible avec plus de 400 millions (excusez du peu) de numéros de téléphone, là c’est même pas digne du simple amateur...

avatar macfredx | 

@Ginger bread

Une faille, une faille... 😮🙄 C'est San Andreas oui !

avatar oomu | 

"De toute façon quand vous créez un compte sur n’importe quelle plateforme web, celle ci peut voir une faille et vos informations personnes et mot de passe dévoilés ou pire transmis. Pour peu que vous utilisiez le même mot de passe d’autres plateformes sont atteintes et donc votre vie privée.
Badger Facebook pour une faille c’est fort surtout quand on voit qu’aucun système n’est sans faille.
"

Vos discours nihilistes n'aident pas et ne décrivent pas la réalité.

avatar Moonwalker | 

Bientôt Gad Elmaleh plagiera les keynotes de Zuckerberg.

avatar Clément34000 | 

@Moonwalker

Ptdrrr

avatar xDave | 

@Moonwalker

Excellent 👌🏽

avatar The Joker WSS (non vérifié) | 

Sauf que vos contacts l’ont fait pour vous. En 2019, n’importe quelle entreprise peut avoir a minima votre nom, prénom, numéro de téléphone et adresse mail.

avatar CorbeilleNews | 

@The Joker WSS

Exactement, la faille c'est tous les proches qu'il faut éduquer car ils s'en foutent et répondent oui à tout !!!

A quand un champ privé dans la fiche qui empêche cela !!!

RGPD AU secours !!!

avatar minitoine | 

@The Joker WSS

Un peu comme les pages jaunes pour internet quoi..

Je pars du principe que ceux sont les seules données que j’accepte d’être diffusées partout.

Malheureusement, y’a pas que ça qui circule..

avatar xDave | 

@The Joker WSS

Je m’étonne toujours de certaines plateformes de recrutement qui exigent toutes les coordonnées en sus du mail et téléphone.

avatar raf30 | 

Facebook aussi rassurant que Flash Player....

avatar PTT91 | 

Le fond de commerce de Facebook est la Pub donc ce sont les données des utilisateurs qui ont la valeur

Mark Zuckerberg n’est qu’un menteur. Il promet d’un côté et abuse de l’autre

Moi je suis content de ne pas utiliser Facebook, Instagram, Twitter et Co

Si certains acceptent le Big Brother pour être sur les réseaux, c’est à leur risque et péril. Chacun son choix

avatar cecile_aelita | 

APPLE C’EST DE LA MMEEEEEEERDE!!!
Hein? Comment ça on parle de Facebook la?
Ah pardon 😅 question d’habitude 😅😅

avatar webHAL1 | 

@romainB84
« APPLE C’EST DE LA MMEEEEEEERDE!!!
Hein? Comment ça on parle de Facebook la?
Ah pardon 😅 question d’habitude 😅😅 »

Je ne sais pas si tu te rends compte qu'après 150x ça commence à être un peu moins drôle... -_-

avatar marc_os | 

@webHAL1

Ben moi c’est la première fois que je vois sa blague et elle m’a fait rire. 😀 Tellement juste !

avatar webHAL1 | 

@marc_os
« Tellement juste ! »

Ah oui ? Qu'est-ce qu'il y a de juste dans cette blague ? Qu'il y a des trolls anti-Apple sur MacG ? Et il n'y en a pas des pro-Apple, ou pas assez ?
Et sinon, qu'est-ce que ça apporte exactement de faire semblant de troller dans chaque sujet qui parle d'un concurrent d'Apple ?

avatar marc_os | 

@webHAL1

Facebook, un concurrent d’Apple ???
Ah bon, je ne savais pas que FB fabriquait ordis, téléphones, OS, etc.
Merci de m’avoir éclairé sur le sujet.

avatar bugman | 

@marc_os

Oups, j’avais lu Google. Sorry.

avatar webHAL1 | 

@marc_os
« Facebook, un concurrent d’Apple ??? »

Tout à fait.

Messagerie.
Solution d'authentification.
Réseau social (nan, j'rigole, Ping était juste un gag !).

avatar fifounet | 

@webHAL1

" Et il n'y en a pas des pro-Apple, "

Ben disons que tu es largement là pour nous en parler à longueur d’années ici donc bon.

On te laisse le monopole.

Pages

CONNEXION UTILISATEUR