Les autorités de protection des données de l’Union européenne ont infligé une amende de 251 millions d’euros à Meta, la société mère de Facebook, à la suite d’une enquête sur une faille de sécurité survenue en 2018, qui a compromis des millions de comptes sur le réseau social.
La Commission irlandaise de protection des données a pris cette décision après avoir conclu son enquête sur l’incident, où des pirates ont pu accéder aux comptes d’utilisateurs en exploitant des failles dans le code de la plateforme, leur permettant de dérober des clés numériques appelées “access tokens”.
Dans le cadre du régime strict de protection de la vie privée appliqué par les 27 pays de l’UE, l’autorité irlandaise est le régulateur principal de Meta, étant donné que le siège régional de l’entreprise est établi à Dublin.
L’organisme a également imposé des réprimandes et des “sanctions administratives” s’élevant à 251 millions d’euros après avoir identifié plusieurs violations des règles de protection des données, connues sous le nom de Règlement général sur la protection des données (RGPD).
Meta a annoncé son intention de contester cette décision. Dans un communiqué, l’entreprise a précisé : “Cette décision concerne un incident de 2018. Nous avons pris des mesures immédiates pour corriger le problème dès qu’il a été identifié.” Elle a également mentionné avoir informé proactivement les personnes concernées ainsi que l’autorité irlandaise.
Lors de la première divulgation de cette problématique, Facebook avait déclaré que 50 millions de comptes utilisateurs étaient affectés. Toutefois, l’autorité irlandaise a clarifié que le nombre réel s’élevait à environ 29 millions, dont 3 millions en Europe.
Meta a ajouté qu’après avoir découvert la faille, elle avait prévenu le FBI ainsi que les régulateurs aux États-Unis et en Europe.
La cyberattaque a impliqué trois failles distinctes dans la fonctionnalité “Voir comme”, qui permet aux utilisateurs de visualiser l’apparence de leurs profils aux yeux des autres. Les attaquants ont utilisé cette vulnérabilité pour dérober des jetons d’accès à partir des comptes d’utilisateurs dont les profils apparaissaient dans les recherches faites avec la fonction “Voir comme”. L’attaque s’est ensuite propagée d’un ami Facebook à un autre. La possession de ces jetons permettrait aux pirates de contrôler ces comptes.
Bon à savoir
- La protection des données en Europe est encadrée par le RGPD, qui impose des exigences strictes aux entreprises concernant la gestion des données personnelles.
- Les violations de données peuvent entraîner des amendes significatives, susceptibles d’influer sur la réputation et les finances des entreprises concernées.
- Meta a fait face à des critiques récurrentes concernant la sécurité des données et la protection de la vie privée de ses utilisateurs.