Ces données ont été mises à disposition gratuitement sur un forum pour pirates. Elles ne sont en fait pas nouvelles : elles étaient initialement apparues en juin 2020, lorsqu’un des membres essaya de les vendre. 

Les informations sont issues précisément de 533 313 128 comptes et contiennent les numéros de téléphone portable, l’identifiant Facebook, le nom, le genre, la ville, le statut marital, le métier, la date de naissance ainsi que, dans de rares cas, l’adresse email. Presque toutes les entrées contiennent au moins le nom et le numéro de téléphone.

Alon Gal, directeur technique de la société de sécurité Hudson Rock, a indiqué dans une série de tweets que tout semblait pointer vers l’exploitation en 2019 d’une faille dans la fonction « Ajouter un ami ». Une brèche qui serait apparue dès 2016, si l’on en croit Motherboard, qui avertissait déjà en janvier de la revente des données.

La faille a depuis été corrigée, et on ne sait pas si elle a permis la récupération de toutes les informations, ou uniquement des numéros de téléphone auxquels auraient été ajoutées d’autres données provenant de l’analyse des profils publics.

La première revente des informations a été proposée pour 30 000 dollars l’année dernière. Peu après, un canal Telegram a été ouvert par un autre pirate pour rendre l’utilisation de la base de données payante. Mais, comme souvent, la « commercialisation » de ces informations a été proposée pour des prix de plus en bas plus bas, jusqu’à ce que les données soient proposées gratuitement, pour le gain de notoriété.

Parmi les informations, on trouve notamment les numéros de téléphone de trois des fondateurs du réseau social : Mark Zuckerberg, Chris Hughes et Dustin Moskovitz, respectivement les 4e, 5e et 6e membres inscrits sur la plateforme. Sur les 533 millions de comptes, 19 848 559 proviennent de Français, soit environ la moitié des utilisateurs dans l’Hexagone.

Bien que les données datent de 2019, il est probable que la plupart des informations soient encore valables, le numéro de téléphone changeant rarement, de même que l’adresse email, sans parler du nom, du genre ou du pays de résidence. 

Ces informations peuvent servir – et ont sans doute déjà servi – à des campagnes de phishing, voire de smishing (phishing par SMS). La récupération des numéros de téléphone peut éventuellement permettre des attaques de type SIM swap scam pour récupérer des codes d’authentification multi-facteurs envoyés par SMS.

Maintenant que les informations sont publiques, la vigilance est de mise. Attention donc à certains emails ou SMS reçus, car les données personnelles augmentent le risque d’ingénierie sociale, quand bien même la personnalisation des attaques se fait davantage pour des cibles à potentiel spécifique. 

Du côté de l’Electronic Frontier Foundation, on pointe une nouvelle fois un scandale lié à la vie privée sur le réseau social. Surtout, on prévoit d’avance que la faille risque de servir à nouveau d’excuse à Facebook pour renforcer les mesures retenant les utilisateurs captifs, alors que les demandes d’ouverture abondent.

La question de savoir si vous êtes concernés par la fuite est complexe. En France, mieux vaut partir du principe que c’est le cas. La base Have I Been Pwned, habituellement une référence, n’est dans le cas présent pas un indicateur fiable, car sur plus d’un demi-milliard de comptes, seuls 2,54 millions d’adresses email ont été récupérées. 

Facebook n’a pas communiqué spécifiquement autour de cet incident, la plupart des porte-paroles rappelant que les informations datent de 2019 et que la fuite a été corrigée depuis. 

À l’aune du RGPD, Facebook doit en principe prévenir les autorités de contrôle dans les 72 heures suivant la découverte de la fuite, à ceci près que la fuite a eu lieu avant l’entrée en application du règlement.

Ce point a été confirmé par la CNIL irlandaise, la DPC (Data Protection Commission) qui est ici autorité chef de file, l’établissement principal de Facebook en Europe étant à Dublin.

Elle a annoncé qu’elle se penchait sur cette fuite, notamment pour vérifier si les données sont identiques à celles de 2019, et s’il doit y avoir procédure. 

Selon les résultats, elle pourra imposer à Facebook d’alerter l’ensemble des utilisateurs concernés, en application de l’article 33 du RGPD. 

En 2016, Google gagnait un important procès contre Oracle à la suite d’une plainte de ce dernier. L’éditeur avait en effet attaqué Google pour violation de copyright sur 37 API, utilisées pour la conception de sa machine virtuelle Dalvik qui était au cœur d’Android jusqu’en 2014.

Au cœur du litige, on retrouvait la notion de « fair use ». En clair, pour Google, les technologies universellement utilisées comme l’étaient ces fameuses 37 API ne devraient faire l’objet que d’une rémunération symbolique. En outre, Dalvik n’était plus utilisée depuis Android 5.0.

Au fil des ans, les rebondissements ont été nombreux. En 2012 par exemple, un juge avait déclaré que Google ne pouvait être tenu responsable, puisque seuls les noms des méthodes avaient été gardés. En 2014, une cour d’appel statuait cependant que les API Java pouvaient bel et bien bénéficier du copyright. À nouveau victoire pour Google en 2016, Oracle faisant appel dans la foulée et gagnant à son tour une nouvelle manche en 2018.

Aujourd’hui, la question est définitivement réglée, car la Cour Suprême américaine a tranché : l’utilisation des API Java par Google était bien un cas de fair use. Cette « utilisation juste » a été largement encensée par le juge Stephen Bryer, qui a rappelé que le principe permet d’éviter « une application rigide des statuts du copyright quand, à l’occasion, ils étouffent la créativité même que la loi est censée encourager ».

L’utilisation faite par Google entre donc dans un cadre d’innovation favorisée par une utilisation raisonnable d’une technologie. En outre, les juges ont considéré que la copie était plus que limitée : les fameuses 11 500 lignes de code reprises par Google représentaient moins de 1 % de Java SE. En outre, ce code servait aux développeurs tiers pour le développement d’applications Android.

Enfin, les juges n’ont pas considéré qu’Oracle était financièrement perdante par cette reprise de code. Selon la Cour Suprême, la société n’était pas en capacité de concevoir un projet viable de smartphone et n’avait donc rien à perdre dans ce domaine.

La victoire est donc totale pour Google, même si la Cour Suprême n’a finalement pas répondu à une question centrale, et pour laquelle l’EFF et Mozilla attendaient une réponse avec impatience : peut-on apposer un copyright sur une API ?

Les sénateurs ont adopté l’article 19 bis du projet de loi Respect des principes de la République, disposition qui veut « prétranscrire » en France le futur règlement du Digital Services Act. 

Ce nouveau régime de responsabilité des plateformes, dévoilé le 15 décembre dernier par la Commission européenne, est toujours en cours d’examen dans l’Union, mais la France a décidé de mettre la charrue avant les bœufs.  

À partir du texte aiguisé en commission des lois, plusieurs amendements ont été adoptés en séance, contrairement à celui des socialistes qui tentaient de réintroduire la loi Avia. 

Le 438, inspiré par les observations de Reporters sans frontières, note que les plateformes devront évaluer chaque année les « risques systémiques liés au fonctionnement et à l’utilisation de leurs services en matière de diffusion des contenus illicites et en matière d’atteinte aux droits fondamentaux, notamment à la liberté d’expression ».

L’amendement remplace « en matière de… » par « en favorisant la… ». Cédric O s’y est opposé, en vain. Il craint que cette rédaction ne soit trop restrictive, conduisant « à un contrôle plus restreint des outils des plateformes ». 

L’article 19 bis donne compétence au CSA pour « mettre en œuvre des méthodes proportionnées de collecte automatisée de données publiquement accessibles », afin de jauger les pratiques des opérateurs de plateforme dans la lutte contre les contenus haineux.

Un autre amendement adopté prévient que cet accès sera possible « y compris lorsque l’accès à ces données nécessite la connexion à un compte ». Une manière d’échapper à la jurisprudence du Conseil constitutionnel sur les données que peut traiter Bercy. 

« De nombreux acteurs visés par le champ du dispositif ne présentent rien sur l'internet ouvert, puisqu'il faut avoir un compte soumis à mot de passe pour accéder à leurs contenus » a relevé en séance Julien Bargeton. 

D’autres amendements ont passés victorieusement ce cap, comme celui visant « à ne soumettre les moteurs de recherche qu’aux obligations visant les plateformes en ligne les plus importantes et qui consistent à procéder à une évaluation des risques systémiques liés à leurs services ».

Les moteurs devront néanmoins rendre des comptes au CSA. 

Ils « resteraient en revanche exclus, [...] des obligations relatives aux conditions générales d’utilisation du service, à la notification de contenus, au traitement de ces notifications, aux mécanismes de recours des utilisateurs contre les décisions prises par les plateformes ou à l’utilisation abusive du service ».

« La France aurait-elle vraiment pu inventer Internet ? » s'interroge faussement Damien Leloup dans un article paru dans Le Monde. La publication du roman « Comédies françaises », d’Eric Reinhardt, a en effet ravivé des querelles mémorielles quant aux apports des informaticiens français à la création d’Internet. Et réveillé des débats très gaulliens entre anciens ingénieurs et chercheurs de l’époque sur le rôle de l’Etat et les apports de la recherche française à la création d’Internet.

« L’idée que les Américains auraient, en intégrant du datagramme, repris un truc totalement inventé en France, est fausse », précise Valérie Schafer, professeure d’histoire contemporaine à l’université du Luxembourg et autrice d’une thèse de référence sur la création des réseaux français. « Dès le début de Cyclades, il y avait des échanges avec les Américains. Gérard Le Lann, de Cyclades, va dès 1973, un an après le lancement du projet, travailler à Stanford avec l’équipe Arpanet. »

« Les Nord-Américains à l’origine d’Arpanet connaissaient, depuis le début, le concept du datagramme. Si la première version d’Arpanet n’utilisait pas de datagramme pur, ce n’est pas par ignorance, mais parce qu’ils ont fait face à une opposition majeure de la part des constructeurs, IBM, General Electric ou Univac, qui à l’époque avaient un monopole de fait sur les ordinateurs. Ils n’avaient aucune envie de mettre à jour les logiciels de leurs machines, un travail coûteux », se souvient de son côté Gérard Le Lann.

Au passage, il explique avoir fait une découverte étonnante : « Nous nous sommes tous trompés, moi le premier, en faisant remonter l’histoire d’Internet au lancement d’Arpanet en 1969, estime M. Le Lann. Il faut remonter au moins à 1962 et à 1965. Des précurseurs nord-américains et britanniques présentent alors dans des thèses, des publications, des conférences, pratiquement tous les concepts et principes qui vont permettre les travaux d’ingénierie qui donneront Internet. Tout est là. Le rôle de ces précurseurs a été très largement négligé, en partie parce que les documents, anciens, ne sont pas toujours disponibles ou facilement trouvables en ligne. »

Sur certains points, tous les acteurs de l’époque sont d’accord, reconnaît Leloup. Si Arpanet a gagné la bataille, et si Internet s’est finalement développé aux États-Unis, c’est grâce à la conjonction de trois éléments : des financements constants, une alliance réussie entre universités, armée et entreprises et, surtout, une volonté politique incarnée plus tard par la figure du vice-président Al Gore (1993-2001), qui fera une promotion sans faille d’Internet.

A contrario, la France n’a pas su faire la jonction entre l’armée, le secteur privé et les jeunes ingénieurs des universités, souvent pacifistes et idéalistes. « Les deux tiers des managers d’Internet sont sortis du Lincoln Lab du MIT. Personne là-bas ne s’est jamais inquiété du fait qu’on y trouve aussi bien la Rand Corporation [think-tank de recherche militaire] que des idéalistes », estime M. Le Lann. 

Guillaume Champeau indique que c'est la trajectoire actuelle, évoquant un « chiffre d'affaires en hausse de 28 % malgré le Covid qui plombe le marché publicitaire [et des] pertes divisées par deux en un an ».

La société sort d'une année de réorganisation suite à la mise en place d'une nouvelle équipe, devant faire le ménage dans les pratiques passées et les projets en cours, et surtout constituer un index utilisé plus régulièrement que celui de Bing.

Si la société s'exprime encore assez peu sur ses évolutions techniques et stratégiques, elle vient d'annoncer un chiffre d'affaires de 7,5 millions d'euros pour 2020, avec toujours 13 millions d'euros de pertes, contre 23,5 millions d'euros l'année précédente.

Un montant qui reste élevé, en raison de « charges "non récurrentes" de restructuration » selon l'AFP à qui l'entreprise a indiqué qu'elle pensait être proche de l'équilibre cette année, notamment à travers ses évolutions publicitaires et son développement en Allemagne. 

« En octobre et novembre 2020, nous avons délivré plus d'un million d'euros de chiffre d'affaires brut, ce qui nous rapproche très sensiblement » du point d'équilibre a précisé Jean-Claude Ghinozzi, actuel PDG, sans livrer de chiffres sur ces derniers mois.

Des nouvelles qui se veulent rassurantes, et pour cause : Qwant cherche à lever au moins 20 millions d'euros pour continuer à se développer.

« Il y avait peu de monde dans l’hémicycle. La gauche et les centristes ont voté pour, quelques républicains aussi. Le vote était à main levée », nous a indiqué samedi le sénateur Pierre Ouzoulias, qui a voté « pour » .

Cet amendement adopté dans le cadre de l’examen sur le Respect des principes de la République (ou « Séparatisme ») revoit considérablement le régime de responsabilité des hébergeurs. 

Aujourd’hui, leur responsabilité est conditionnée à la démonstration de leur passivité alors qu’ils viennent d’avoir connaissance d’un contenu manifestement illicite.

Avec ce texte porté par Claude Malhuret (Indépendants, République et Territoires), les hébergeurs deviennent civilement et pénalement responsables lorsqu’ils effectuent sur les contenus « un traitement par algorithme, modélisation ou tout autre procédé informatique, afin de classer, ordonner, promouvoir, recommander, amplifier, ou modifier de manière similaire la diffusion ou l’affichage de ces informations »

Deux critères donc : un critère matériel (un procédé informatique), un critère de finalité (« afin de… »).

Le texte épargne simplement les classements chronologiques, alphabétiques, aléatoires, ou ceux fondés « sur la quantité ou la qualité des évaluations attribuées par les utilisateurs. »

Le modèle économique des plateformes « les conduit à sélectionner et promouvoir les contenus les plus extrêmes, les plus polémiques, ceux qui génèrent le plus de vues, de messages, donc de fric. Les algorithmes dégradent la visibilité des contenus normaux, mettent en avant les plus dangereux » a commenté le sénateur en séance.  

« Cette sélection est bien un choix de contenus. Je souhaite maintenir l'exonération de responsabilité pour les purs hébergeurs, mais rendre les autres responsables devant le juge pour les contenus qu'elles diffusent ». Message adressé à Facebook, Twitter, YouTube et les autres. 

« Il faut approfondir la régulation » a concédé Cédric O, les yeux tournés sur le Digital Services Act et l’article 19 bis du projet de loi qui veut le prétranscrire.

Toutefois, « il serait abusif de les considérer comme des éditeurs - ce serait tuer le modèle ». Et le secrétaire d’État au numérique d’insister : « Rendre les plateformes responsables de chaque contenu n'est pas une approche juridique sensée ».

• Le Digital Services Act expliqué ligne par ligne

L’amendement a donc été adopté, à ceci près que le régime qu’il met en place n’a aucune chance de survivre en commission mixte paritaire, le texte n’étant pas vraiment dans les clous de la directive de 2000 sur le commerce électronique, encore en vigueur.