Fuite de données Facebook : médias timides, gouvernement muet

Loris Guémart - - 31 commentaires

Le fichier regorge de numéros personnels de célébrités et notamment de ministres

Depuis cinq jours, près de 20 millions de numéros de téléphone portable, associés à des noms et à des profils Facebook de Français, sont publics. Arrêt sur images a appris à plusieurs ministres que leur numéro circulait. Le gouvernement n'en dit pas un mot, et la plupart des médias restent timides. Pourquoi ?

Ce n'est pas tous les jours qu'on appelle une dizaine de membres du gouvernement sur leur numéro personnel, donnée personnelle privée mais désormais accessible à n'importe quel quidam sur le web. "Je ne sais pas du tout de quoi vous me parlez", s'étonne la ministre de la Mer Annick Girardin. Comme le ministre des PME Alain Griset, elle a appris par un coup de fil d'Arrêt sur images, ce 7 avril, l'existence de données personnelles Facebook circulant sur le web depuis 5 jours, dont les siennes. Manifestement, au gouvernement, tous ne sont pas logés à la même enseigne : le ministère de l'Intérieur suit l'affaire de près, tonne auprès de nous, par texto, le cabinet de la ministre Marlène Schiappa. Cette dernière est tout à fait au courant, elle, de la présence de ses coordonnées dans une liste qui représente un tiers des numéros de téléphone portable des Français. Un véritable annuaire sans possibilité de liste rouge, et enrichi de données personnelles sensibles : selon une recension d'ASI, des footballeurs célèbres, de grands patrons ou des stars du cinéma et de la musique y figurent ainsi, parfaitement identifiables – et désormais joignables sur leurs numéros personnels.

Le 3 avril 2021, une base de données d'un demi-milliard d'utilisateurs de Facebook dans le monde (sur 2,8 milliards d'utilisateurs) est soudainement devenue publique et gratuite. Après avoir été vendue discrètement et à prix d'or pendant près de deux ans, cette base est désormais accessible sur le web, en quelques minutes ou quelques heures de recherches – bien que son téléchargement soit illégal. En France, 20 millions de personnes, soit la moitié des 40 millions d'utilisateurs de Facebook, voient ainsi leur numéro de téléphone portable dévoilé, accompagné de leur nom et de l'identifiant de leur profil sur le réseau social, et aussi, s'ils les avaient renseignés, leur statut de célibataire ou "en couple", leur employeur, leur adresse, et plus rarement leur adresse courriel. Pourtant, du côté du gouvernement, c'est silence radio depuis cinq jours – aucune communication publique hors d'un discret communiqué de la Commission nationale informatique et libertés (Cnil) renvoyant au régulateur des données irlandais, qui coordonne l'affaire au niveau européen. Un silence à peine moins assourdissant que celui des médias français, dont aucun n'a choisi de faire sa Une avec cette fuite inédite en France, à la fois par son ampleur et par son caractère public.

Des articles au compte-gouttes

Depuis le 3 avril, lorsqu'un expert en sécurité informatique, puis Business Insider, révèlent le caractère désormais public de cette gigantesque base de données qui circule et qui est vendue illégalement depuis 2019, les médias français ont été plutôt lents à la détente. Les sites spécialisés ont certes rapidement publié des articles suivant l'affaire, et l'AFP diffusait une dépêche le soir même. Mais la presse généraliste n'a, semble-t-il, pas pris la mesure de l'ampleur et de la gravité de cette fuite. France Inter et Le Monde dégainent le 5 avril, suivis par Ouest-France, Libération et RTL le 6 avril. L'attention médiatique commence à s'élever le 7 avril, avec des articles dans Le Figaro ou dans 20 Minutes, entre autres. Mais leur contenu consiste d'abord à alerter sur le risque accru d'arnaques par SMS, et à expliquer comment vérifier si son numéro de téléphone y figure. La plupart des articles négligent d'explorer les éventuelles conséquences politiques et judiciaires pour Facebook.

D'après les informations que nous avons pu recueillir, les rédacteurs en chef des médias généralistes n'ont pas accordé degrand intérêt au sujet, traité à l'initiative des journalistes ou des chefs des rubriques "tech" et "économie" des rédactions. En plein week-end pascal, alors que bien des rédactions ont des moyens diminués par les gardes d'enfants des journalistes qui télétravaillent, ces rubricards n'ont pas eu le temps de creuser ce sujet pourtant sensible, et le début de la semaine a été consacré à chroniquer les avanies informatiques de l’Éducation nationale. Certains auteurs des articles concernés, joints sous condition d'anonymat, estiment aussi avoir traité le sujet à la mesure de son importance, qu'ils jugent modérée compte tenu de la fréquence élevée de fuites de données informatiques (la précédente, portant sur les données médicales de 500 000 Français, n'a que quelques semaines). On est très loin d'un débat public de grande ampleur.

Un seul média généraliste français se distingue des autres depuis cinq jours : BFMTV. La chaîne a ainsi évoqué à plusieurs reprises l'affaire sur son antenne, par exemple avec cette chronique d'Anthony Morel, et elle multiplie les articles sur son site web depuis le soir du 3 avril. Le 6 avril, la chaîne est d'ailleurs la première à révéler que"les coordonnées de plusieurs personnalités politiques de premier plan sont également recensées", et à pointer que cette base de données permet "de trier les utilisateurs en fonction de leur profession, par exemple pour cibler les employés de certains ministères, hôpitaux, ou autres infrastructures sensibles particulièrement visées par les pirates informatiques". Et première à s'interroger ouvertement sur l'illégalité de Facebook par rapport au règlement européen sur la protection des données (RGPD), selon lequel "Facebook est tenu d'informer ses utilisateurs européens d'une telle fuite de données".

Joint par ASI, le chef de son service "tech", Raphaël Grably, dont le numéro de téléphone figure d'ailleurs dans cette liste, ne cache pas son inquiétude. "Je l'ai téléchargée rapidement, c'est le côté concret et massif qui m'a marqué... On tombe sur des centaines de personnes qui travaillent dans des hôpitaux, dans des centrales nucléaires, au ministère de la Défense : ça fait une porte d'entrée avec un peu de personnalisation pour appâter une victime potentielle", explique-t-il. "Cette faille montre à la fois l'inconséquence et l'irresponsabilité totale de Facebook", regrette aussi Grably, Facebook ayant annoncé qu'il ne préviendrait pas les utilisateurs concernés, ne considérant pas la fuite comme un piratage proprement dit.

Rappelant que ces numéros de téléphone n'étaient en aucun cas publics, Grably note que "personne n'a conscience du fait que son numéro ait pu être collecté". Contrairement aux autres médias, il n'a pas anglé ses articles sur la responsabilité individuelle des lecteurs : "Évidemment qu'il faut rappeler les bons réflexes, mais dans cette histoire, il y a un responsable, qui est Facebook." Le 7 avril, il se disait donc "assez étonné" de la faible couverture médiatique française. Il précise avoir joint un certain nombre de responsables politiques, qui ont exprimé "lassitude" et "dépit", lui expliquant être peu enclins à commenter publiquement l'affaire.

Belgique, USA : les médias nomment des victimes

Pour l'instant, en France, aucun nom de victime de cette fuite de données n'a été diffusé dans les médias – seuls quelques spécialistes du numérique l'ont eux-mêmes indiqué sur Twitter. Et malgré le risque posé par cette fuite de très grande ampleur, le silence de la classe politique n'est pas pointé par les journalistes. 

Aux États-Unis, rapidement, les médias ont révélé que le numéro de téléphone portable du créateur de Facebook, Mark Zuckerberg lui-même, était désormais public – on a ainsi appris qu'il utilise la messagerie sécurisée Signal, pourtant concurrente de Whatsapp, qu'il possède. Le premier nom de responsable politique dont les données ont fuité a été livré par le média spécialisé Wired le 6 avrilIl s'agit du nouveau secrétaire d’État aux Transports, Pete Buttigieg. En Belgique, la situation politico-médiatique ne saurait être plus éloignée de celle de la France : dès le 5 avril, le ministre de la Justice, d'ailleurs victime de la fuite, enjoint publiquement tous les Belges à se méfier, désormais, des appels et SMS présentant le moindre doute, afin d'éviter les arnaques en tout genre. Il est relayé par l'ensemble des médias

Une partie de la presse belge a décidé de révéler les noms de responsables politiques dont les numéros figurent dans la base de données désormais publique. Le 5 avril, le quotidien belge des affaires L'Echo dévoile que les numéros de téléphone du commissaire européen à la Justice Didier Reynders et du Premier ministre luxembourgeois Xavier Bettel figurent dans la base de données – des noms relayés par l'antenne bruxelloise du média européen Politicodans sa newsletter, subventionnée ce jour-là par... Facebook. La radio wallonne Ultrason, elle, informe ses lecteurs que la fuite a fait de nombreuses victimes chez les maires, députés et ministres wallons, qu'elle nomme elle aussi. Une différence avec la presse régionale française, qui n'a jusqu'à présent pas donné plus de noms que les médias nationaux.

En France, pas de noms

En France, Politico est le premier média à évoquer le 7 avril, dans sa newsletter parisienne, la présence de membres du gouvernement, soit "au moins quatre ministres" dans la base de données. L'un d'eux précise à Politico que les services du ministère de l'Intérieur sont "au courant". Selon notre propre recension, au total, les coordonnées téléphoniques de douze membres du gouvernement figurent dans la base, et nous avons pu confirmer l'exactitude des coordonnées de dix d'entre eux : le ministre de l’Éducation nationale Jean-Michel Blanquer, le ministre de la Santé Olivier Véran, la ministre de la Mer Annick Girardin, le ministre des PME Alain Griset, la ministre de la Citoyenneté Marlène Schiappa, la ministre de l'Insertion Brigitte Klinkert, le secrétaire d'État au tourisme Jean-Baptiste Lemoyne, la secrétaire d'État à la biodiversité Bérangère Abba, le secrétaire d’État aux affaires européennes Clément Beaune, et le secrétaire d'État aux retraites Laurent Pietraszewski.

Comme l'ensemble des médias français à ce jour, Politico ne donne pas de noms, contrairement à l'antenne bruxelloise. "Le fait que Didier Reynders se trouve parmi les personnes dont les données ont été exposées nous semblait particulièrement important, car il est chargé des sujets de protection de la vie privée au sein de la Commission européenne, explique à ASI la directrice de la rédaction française, Marion Sollety. Dans le cas des ministres français, nous avons jugé que l’information d’intérêt public était le fait que des ministres se trouvent parmi les personnes dont les données personnelles ont été exposées, davantage que leur identité." Chez BFMTV, Grably a également noté la présence de membres du gouvernement, choisissant de ne pas les dévoiler non plus : "On a préféré ne pas donner les noms pour ne pas inciter les gens à télécharger la base, ce qui les mettrait dans l'illégalité."

Pourquoi ASI donne des noms

Contrairement aux autres médias jusqu'à présent, Arrêt sur images a choisi d'indiquer les noms des membres du gouvernement figurant dans cette liste sensible. En effet, le gouvernement français a une responsabilité particulière dans les suites données à cette affaire, qui concerne tous les Français. Certains ministres ont exprimé en privé leur inquiétude, ce qui contraste avec le silence du gouvernement. 

E.W.

Le gouvernement opaque, pour changer

Si le gouvernement n'a manifestement pas pris la peine d'alerter l'ensemble de ses membres sur la fuite de leurs coordonnées téléphoniques, il n'a pas plus prévenu les citoyens, ni leurs représentants... y compris ceux qui sont membres de la Cnil. "C'est une violation de données personnelles, comme un vol au domicile, il y aura certainement une plainte déposée", témoigne ainsi la députée EELV Albane Gaillot auprès d'ASI, quand nous lui apprenons que son numéro figure dans la liste ayant fuité. "Ce serait bien qu'on ait une réaction de Cédric O (secrétaire d’État chargé du Numérique, ndlr), mais comme ça relève de la sécurité publique, de notre citoyenneté, en réalité tous les ministères sont concernés." Lorsque les données de santé d'un demi-million de Français ont récemment fuité, Cédric O n'avait d'ailleurs pas ménagé ses critiques publiques.

Aucun des quelques députés et sénateurs, victimes de la fuite et sollicités par ASI, n'avait été mis au courant, ni par l'Assemblée nationale, ni par le Sénat, ni par le gouvernement, que leurs numéros de téléphone personnels étaient désormais accessibles en quelques clics. Certains observent que leurs coordonnées téléphoniques ne sont pas inaccessibles à qui chercherait à les joindre dans leur circonscription, mais redeviennent vite sérieux, à l'image du député LR des Hauts-de-Seine Thierry Solère : "La sécurité des données pose un problème énorme, c'est un sujet sur lequel les autorités publiques ont un rôle à jouer." Pour l'instant, les membres du gouvernement préfèrent cependant le silence, et les médias ne les poussent pas vraiment à s'exprimer. Alors, qui s'attaquera frontalement à Facebook ?

Lire sur arretsurimages.net.