419 millions de numéros de téléphone en libre service sur un serveur non sécurisé de Facebook

Mickaël Bazoge |

En mars, Mark Zuckerberg prenait sa plus belle plume pour révéler au monde sa vision d'un réseau social « concentré sur le respect de la vie privée ». Le patron de Facebook listait un certain nombre de grands engagements et de beaux principes pour protéger les données des utilisateurs de la plateforme. Facebook a encore beaucoup, beaucoup de travail à faire pour gagner ses galons de champion de la confidentialité.

Une bonne blague.

Une nouvelle faille de sécurité dans un serveur de Facebook a exposé les numéros de téléphone de 419 millions d'utilisateurs de Facebook, dont 133 millions basés aux États-Unis, 50 millions au Vietnam, 18 millions au Royaume-Uni, et ailleurs. N'importe quel malandrin a pu siphonner ces informations, le serveur n'étant pas protégé par un mot de passe, raconte TechCrunch.

Pour certaines victimes, on peut aussi trouver le nom et savoir si c'est un homme ou une femme. Du caviar pour les entreprises malintentionnées qui font commerce de spam téléphonique, ou encore pour mettre en œuvre des attaques de « SIM swapping » dont a été victime le patron de Twitter récemment.

Contacté, Facebook a expliqué que la base de données était ancienne et qu'elle stockait des informations obtenues avant que le réseau social ne retire la possibilité de trouver des utilisateurs avec leurs numéros de téléphone. La base a été retirée et Facebook n'a pas relevé de compte compromis. L'entreprise n'a pas précisé quand la base de données a été supprimée.

avatar Alex Giannelli | 

😍🍿🧦

avatar romainB84 | 

@AlexG

avatar pagaupa | 

🤮♠️🏴‍☠️

avatar  | 

Bien content de continuer de refuser de “sécuriser” mon compte avec mon numéro de téléphone à chaque fois que Facebook me le demande.

avatar macfredx | 

@

Ben, mai je suis bien content de ne pas utiliser Facebook...

avatar whocancatchme | 

@

Pareil j’ai tout le temps fais ça mais faut pas se leurrer avec WhatsApp et l’ID du téléphone ils ont vite fais le lien sans nous

avatar Clément34000 | 

C’est vraiment un truc de dingue... la double authentification via le tél est super efficace mais de l’autre côté, le numéro est lâché dans la nature... pfff

avatar Un Type Vrai | 

Pardon ?
Efficace comment ?
Donner sans rémunération une information permettant d'aglomerer et de certifier les données concernant une personne, c'est efficace.
Mais pas pour la sécurité...
(Pour ça, il existe d'autres moyens)

avatar MrMeteo | 

@Un Type Vrai

Poiurriez-vous préciser quels sont ces moyens s’il vous plaît ?
Ça peut toujours être bien de les connaître !

avatar armandgz123 | 

@MrMeteo

Par exemple, il suffit d’aller cliquer sur la notification de double authentification sur son smartphone quand on essaye de se connecter sur un PC, pas besoin de recevoir un SMS

avatar marc_os | 

@armandgz123

Ton smartphone il communique comment avec ton PC pour assurer la double authentification ?
Wifi ? Bluetooth ?
Comment s’appelle la techno ?
(Désolé, je suis un peu obsolète et ne connais que celle par SMS qui requiert un no de tel).

avatar bugman | 

@marc_os

Cela peut être de façon autonome (basé sur le temps), principe des cartes de crédits modernes.

avatar armandgz123 | 

@marc_os

Pourquoi devrait-il communiquer avec le PC ? Un code dans un SMS faut communiquer le smartphone avec le Pc ?
Un mail avec un code ou une application suffit, avec une case pour valider la connections. Après, ça communique par les serveurs du service j’imagine

avatar stefhort | 

@marc_os

En ce qui me concerne, j’utilise la double authentification avec 1Password ! C’est très efficace et ça évite de devoir donner mon numéro de téléphone. Je me connecte sur Facebook, je me log avec mon email + mot de passe et 1Password me met automatiquement le code temporaire dans le presse papier, je n’ai plus qu’à le coller ... et me voilà connecté avec double authentification et sans SMS !
Je recommande !

avatar Un Type Vrai | 

La banque fourni un boitier qui permet de récupérer un code.
AWS utilise Authy, une application qui fourni un code.
La sécurité, c'est jamais de donner toutes ses infos à toutes les entreprises.
La news sur Facebook (mais je rappelle que Sony, Apple, Microsoft, Google ... Ont tous eu des piratages...) est une piqûre de rappel. Donner son numero de téléphone à Facebook, c'est le donner potentiellement à des malandrins.
Mais le truc extraordinaire, c'est qu'on donne aussi gratuitement de quoi monetiser des datas trop anonymes (le téléphone sert à consolider les données).

avatar Clément34000 | 

@Un Type Vrai

Tu veux faire payer la visibilité de ton numéro de téléphone ? lol

avatar Un Type Vrai | 

Je donne le moins possible d'infos persos à des entreprises qui les monétisent.
Question de principe.
Du coup j'ai un vieil Android sans compte Google (avec K9mail etc.)
Quand je vais sur youtube ou gmap, c'est toujours en navigation privée.
Et j'évite Chrome au maximum (sauf tests).

Mais je suis conscient que c'est débile et contraignant. Je le fais presque comme si c'était une religion (apres tous, des gens sont capables refuser de manger du porc toute une vie, pourquoi je ne tiendrai pas ma petite conviction ?)

Sur youtube par exemple, sans navigation privée, on est obligé de se connecter (disons qu'on y est tellement invité que ne pas le faire détruit l'intérêt d'y aller). Google se sert donc d'internet pour le privatiser.
C'est une tendance lourde et malheureusement je pense qu'internet n'existera plus comme l'encyclopédie ouverte de l'humanité sur l'humanité (y compris de la bêtise).
La seule résistance que j'ai, c'est éviter d'épendre mes données et naviguer en privé.
Ne lisez pas ce message comme une tentative de conversion à mes convictions, je ne suis pas évangéliste, je me contente de balayer devant ma porte (autre conviction... Rhaaaa)

Bref.

avatar Clément34000 | 

@Un Type Vrai

Wouah, tu es partis dans un sacré pèlerinage, bon courage à toi

avatar eugenemr | 

Alors en fait oui mais pas par le téléphone. 2FA app ou rien 😐

https://nakedsecurity.sophos.com/2016/08/12/sms-or-authenticator-app-whi...

avatar Chazi | 

@Clément34000

Au delà de l’aspect vie privée, y’a énormément d’exemples qui prouvent que la 2FA via SMS n’est pas sécurisée. Une clé physique ou une appli 2FA sont mieux (Authy, 1P, etc)

avatar SyMich | 

Le dernier exemple en date étant le patron de Twitter qui s'est fait piraté son compte grâce à la sécurité 2FA...
(Des petits malins récupèrent numéro de téléphone et quelques infos vous concernant et réussissent à se faire passer pour vous pour convaincre votre opérateur téléphonique de leur reprogrammer une SIM pour des raisons bidon mais convaincante. A partir de là, le code sms de sécurisation du compte arrive sur LEUR téléphone, plutôt que sur le vôtre)

avatar Aba7 | 

Bien. Content de jamais avoir mit mon numéro et de sécuriser mon compte avec un loooooong mots de passe et plus de double authentification .

avatar stefhort | 

@Aba7

Malheureusement, il y a sûrement nombreux contacts qui l’ont déjà fait pour toi... Il suffit que une de tes connaissance ait donné l’accès à son répertoire pour que Facebook connaisse tes infos ...
Je ne donne pas mon numéro à Facebook & cie, mais je suis certain qu’ils l’ont par regroupement entre les carnets d’adresses de mes contacts moins vigilants lorsqu’il s’agit de confidentialité...

avatar occam | 

« En mars, Mark Zuckerberg prenait sa plus belle plume… »

L’article a l’élégance de ne pas préciser il se la prenait.
Les lecteurs attentifs compléteront eux-mêmes.

avatar Sorabji | 

@occam

Dans le trou de nez certainement.

Pages

CONNEXION UTILISATEUR