Facebook : il y aurait une autre base de données de numéros de téléphone en ligne

D’après une enquête menée par Motherboard, il existerait sur Internet un outil payant qui permet d’obtenir les numéros de téléphone d’utilisateurs de Facebook ayant mis un « j’aime » à une page spécifique. Apparemment, il n’y aurait aucun lien avec la base de données contenant les 500 millions de comptes qui a fait parler d’elle ces derniers jours. Cela ne signifie qu’une chose, il est possible qu’il y ait une autre fuite au niveau du système de protection de la vie privée de Facebook.

L’outil en question se présente sous forme d’un bot auquel on peut avoir accès sur la plateforme de messagerie Telegram. Après vérification, les numéros de téléphone que l’on obtient ne font effectivement pas partie des 500 millions susmentionnés. Au cours de l’enquête, Motherboard a également testé quelques numéros et ceux qui ont répondu ont bien confirmé leur nom, celui utilisé au niveau de leur compte Facebook.

Crédits Pixabay

Selon les informations, la description du bot indique que l’outil permet d’obtenir les numéros de téléphone des utilisateurs ayant « liké » une page Facebook.

Comment fonctionne l’outil ?

Pour utiliser le bot, on doit d’abord identifier le code d’identification unique de la page dont on cherche à obtenir les numéros de téléphone. Il est possible de le faire avec des sites web dont certains sont gratuits. Lorsque ce code est obtenu, il suffit de l’introduire dans le bot qui va faire apparaitre le coût en dollars américains de l’opération. Le prix va dépendre du nombre de likes qu’il y aura sur la page. Par exemple, une page avec des dizaines de milliers de likes peut coûter quelques centaines de dollars. Selon Motherboard, pour leur page qui peut fournir 134 803 résultats, le coût de l’opération est de 539 dollars. D’un autre côté, l’outil va effectuer l’opération gratuitement si la page cible compte moins de 100 likes.

Pour les résultats, le bot va fournir un simple fichier avec le nom complet des utilisateurs Facebook, leur numéro de téléphone, ainsi que leur genre. Apparemment, l’outil ne donne pas forcément les données de toutes les personnes ayant cliqué sur le bouton j’aime. Par exemple, pour une page qui a 50 likes, le fichier comptera moins de 10 utilisateurs.

La vérification des numéros

Pour vérifier que les numéros de téléphone obtenus étaient bien de vrais numéros, ceux de Motherboard ont choisi quelques-uns provenant du fichier et ont cherché leur profil Facebook. Ils ont aussi vérifié que ces personnes avaient bien aimé la page lorsqu’il était possible de faire la vérification. Parmi ceux qui avaient été choisis, aucun des profils ne faisait apparaitre publiquement son numéro de téléphone, pourtant il s’agissait bien du numéro de l’utilisateur. Lorsqu’on utilisait ce même numéro sur WhatsApp, on pouvait retrouver la même personne.

Pour vérifier que les numéros obtenus ne faisaient pas partie des 500 millions, Motherboard s’est servi entre autres de Have I Been Pwned qui est un service de notification de brèches géré par le chercheur en sécurité Troy Hunt. Ce dernier avait introduit les 500 millions d’utilisateurs Facebook dans le service. Les résultats ont montré que les numéros nouvellement obtenus n’étaient pas dans la base de données.  

En tout cas, ce nouvel outil pourrait être utilisé par des gens malintentionnés pour obtenir de l’argent. Par exemple, il est possible de cibler des pages spécifiques et d’obtenir les numéros des abonnés, puis de vendre ces numéros à des compagnies qui pourraient s’y intéresser. Attendons de voir la réaction de Facebook face à cette nouvelle situation qui reflète une fois de plus la faiblesse de son système de protection des données des utilisateurs.

Mots-clés facebook