Fuite de données Facebook : comment protéger vos données ?

06 avril 2021

Un fichier comprenant des données de près de 533 millions d’utilisateurs de Facebook, dont 20 millions de Français, est actuellement accessible sur internet. La CNIL rappelle quelques conseils pour limiter les conséquences pour vos informations personnelles.

Quelles informations sont concernées ?

Plusieurs informations personnelles, renseignées par les personnes concernées, peuvent être présentes dans ce fichier, notamment :

  • les nom et prénoms ;
  • la date et le lieu de naissance ;
  • le genre ;
  • la ville et le pays de résidence ;
  • la profession ;
  • le numéro de téléphone et le courriel associés au compte ;
  • le statut marital (célibataire, en couple, marié, etc.).

La fuite de données ne concernerait pas les mots de passe des utilisateurs, ni les messages privés échangés sur cette plateforme.

Ce fichier serait issu d’une fuite survenue en 2019, dont l’origine serait une vulnérabilité plus ancienne de la plateforme Facebook.


Comment vérifier si je suis concerné ?

La CNIL vous conseille de ne pas télécharger ou consulter de fichier comportant ces informations, même s’il est gratuit ou facilement accessible.

En particulier, restez vigilant sur les points suivants :

  • la visite de sites web hébergeant de tels fichiers peut comporter des risques (sites peu sécurisés, démarche illégale) ;
  • des personnes malveillantes peuvent vous demander d’éventuelles contreparties financières (argent réel, Bitcoins, crédits) pour accéder au fichier ;
  • le téléchargement d’un tel fichier, qui comprend également des informations personnelles sur d’autres personnes, est illégal (cela peut être considéré comme du recel) ;
  • de tels fichiers présents sur le web peuvent contenir des programmes malveillants, comme des virus.

Compte tenu du nombre de comptes concernés (près d’un utilisateur français sur deux serait concerné), si vous disposiez d’un compte Facebook entre 2016 et 2019, il est conseillé de vous considérer comme étant concerné par cette fuite de données, sans chercher à vérifier si c’est effectivement le cas.


Comment limiter les risques pour mes informations personnelles ?

Des personnes malveillantes pourraient utiliser ces données à des fins d’escroquerie, d’ingénierie sociale, d’usurpation d’identité, de piratage ou de marketing.

Il n’est pas possible de supprimer des informations ayant déjà fuité. Cependant, quelques réflexes peuvent vous permettre de limiter les conséquences de cette fuite à l’avenir, notamment :

  • même si celui-ci n’est a priori pas concerné par cette fuite, pensez à modifier votre mot de passe en choisissant un mot de passe fort et unique ;
  • pensez à vérifier les informations que Facebook détient sur vous et à consulter l’assistance confidentialité ;
  • supprimez les informations qui ne vous paraissent pas utiles sur les différents réseaux sociaux que vous utilisez (profession, genre, lieu de naissance, etc.) et évitez de donner des informations sensibles sur vous (opinions politiques et religieuses, orientation sexuelle) ;
  • pensez à avertir et à accompagner les personnes de votre entourage maîtrisant peu les réseaux sociaux et qui pourraient être concernées par cette fuite.

Compte tenu du fait que la fuite de données a divulgué les numéros de téléphone et les adresses électroniques de millions d’utilisateurs, soyez vigilants face aux éventuels courriels ou SMS qui pourraient être des tentatives d’hameçonnage (notamment les messages d’origine inconnue comprenant un lien).

En particulier, faites attention aux messages semblant provenir de votre banque ou assurance qui vous demanderait de vérifier des informations ou de procéder à un virement. En cas de doute sur un message reçu (contact inhabituel, demande du mot de passe, fautes d’orthographe, lien suspect), il est préférable de contacter directement, par exemple, un conseiller de l’établissement concerné.


Que peut faire la CNIL ?

Cette fuite, qui constitue une violation de données, a entraîné des plaintes d’utilisateurs.

Depuis mai 2018, la DPC, l’autorité de protection des données irlandaise, est l’autorité chef de file concernant la société, l’établissement principal de Facebook en Europe étant à Dublin. L’autorité irlandaise a publié le 6 avril 2021 une communication sur son site web sur cette fuite de données et son action (en anglais).

La CNIL travaillera en coopération avec la DPC. Il s’agira notamment de vérifier les circonstances de la violation. Les mesures prises par Facebook concernant cette violation seront examinées, notamment l’éventuelle communication directe aux personnes concernées par la fuite ainsi que les mesures de sécurité mises en œuvre avant et après cette fuite pour réduire les risques pour les personnes concernées.