Pour une vieille violation de données, la Commission irlandaise de protection des données (DPC) sanctionne Meta d'une amende de 251 millions d'euros au nom de l'UE. Les faits remontent à 2018 et concernaient des comptes Facebook piratés.
Des attaquants avaient exploité une vulnérabilité dans le code de Facebook. Elle affectait la fonctionnalité « Voir en tant que » qui permet à un utilisateur de voir son propre profil tel qu'il est vu par quelqu'un d'autre. Les attaquants ont été en mesure de voler des jetons d'accès (access tokens) à Facebook et de les utiliser pour se connecter à des comptes.
L'attaque avait tiré parti de plusieurs bugs dans le code, dont l'origine était le déploiement en juillet 2017 d'une nouvelle version d'un module pour mettre en ligne des vidéos. Cela a eu un impact sur « Voir en tant que ».
Trois millions de comptes Facebook en Europe
Entre le 14 septembre et le 28 septembre 2018, il a été déterminé que des personnes non autorisées avaient exploité la faille via des scripts et avaient pu se connecter à environ 29 millions de comptes Facebook dans le monde, dont près de 3 millions dans l'UE.
La DPC énumère comme suit les données personnelles compromises : le nom complet de l'utilisateur, son adresse e-mail, son numéro de téléphone, sa localisation, son lieu de travail, sa date de naissance, sa religion, son genre, ses publications sur les timelines, les groupes dont un utilisateur était membre et les données personnelles d'enfants.
« La sanction souligne comment l'absence d'exigences en matière de protection des données tout au long du cycle de conception et de développement peut exposer les personnes à des risques et à des préjudices très graves », déclare Graham Doyle, commissaire adjoint de la DPC.
La réaction (irritée) de Meta
Ce sont en fait plusieurs manquements au règlement général de l'UE sur la protection des données qui sont sanctionnés.
« La décision de la DPC fait suite à un incident survenu en 2018. Nous avons pris des mesures immédiates pour résoudre le problème dès qu'il a été identifié, et nous avons informé de manière proactive les personnes touchées ainsi que la Commission irlandaise de protection des données », déclare une porte-parole de Meta (TechCrunch).
Elle ajoute que des « mesures de pointe ont été mises en place pour protéger les personnes sur nos plateformes. »
