latribune.fr
Les données auxquelles les pirates ont pu avoir accès ont pu inclure le nom complet, l'adresse email, le numéro de téléphone ou encore la date de naissance ou la religion des utilisateurs, selon la DPC.
DADO RUVIC
Nouvelle amende pour Meta. 251 millions d'euros lui ont été infligés au nom de l'Union européenne (UE) par la Commission irlandaise pour la protection des données (DPC). Cette dernière, qui fait office d'autorité de contrôle, où se situe le siège européen du groupe, l'a annoncé ce mardi dans un communiqué. L'affaire ne date pas d'hier. Il faut remonter six ans en arrière, en septembre 2018. Un défaut de sécurité sur la plateforme Facebook, propriété de Meta, avait permis à des pirates informatiques d'accéder à des données personnelles d'utilisateurs.
Meta a indiqué ce mardi vouloir faire appel de cette décision. « Nous avons pris des mesures immédiates pour résoudre le problème dès qu'il a été identifié, et nous avons informé de manière proactive les personnes impactées ainsi que la Commission irlandaise de protection des données », a précisé un porte-parole dans un communiqué distinct.
Les données auxquelles les pirates ont pu avoir accès ont pu inclure le nom complet, l'adresse email, le numéro de téléphone ou encore la date de naissance ou la religion des utilisateurs, selon la DPC. Pour les récupérer, ils avaient profité de la conjonction de plusieurs bugs nichés dans la fonctionnalité « Voir en tant que » (qui permet de visualiser à quoi ressemble son propre profil quand il est vu par un autre utilisateur).
Concrètement, l'utilisation de cette fonctionnalité pouvait générer, par erreur, des clés numériques de connexion (access tokens, en anglais). Ces dernières permettent de rester connecté sans avoir à rentrer son mot de passe à chaque fois. Les pirates sont parvenus à s'emparer de ces clés, qui donnent accès aux comptes. Selon la DPC, cette faille a duré 14 jours, entre le 14 et le 28 septembre 2018.
Facebook avait exposé au grand jour l'affaire. La DPC avait ensuite commencé à enquêter fin 2018. Il s'agissait alors d'une des premières applications du Règlement européen sur la protection des données (RGPD) contre un poids lourd d'internet. Cette directive était entrée en vigueur quelques mois plus tôt dans l'UE. Pour rappel, elle vise à mieux protéger les données personnelles des Européens, renforcer les droits des internautes et établir des obligations claires pour les entreprises dans le traitement des données.
Chaque jour à 13h, l’essentiel de l’actualité tech.
Reste que ces 251 millions d'euros d'amende apparaissent quelque peu dérisoires. Le groupe Meta a enregistré 40,59 milliards de dollars (38,7 milliards d'euros) de chiffre d'affaires au troisième trimestre, en hausse de 19% sur un an. Dont 15,69 milliards de dollars (14,9 milliards d'euros) de bénéfices (+35%), soit plus de deux milliards qu'attendu par les analystes.
Depuis 2021, le géant américain écope régulièrement d'amendes de centaines de millions d'euros dans l'UE pour manquement à la protection des données. Mais à chaque fois les montants s'affichent minimes comparé à ses résultats. La dernière amende en date remonte à fin septembre : 91 millions d'euros pour un manque de transparence après une faille de sécurité. Précédemment, le groupe avait écopé d'une amende de 225 millions d'euros en 2021, pour manque de transparence. Mais aussi de 405 millions en 2022 pour des manquements dans le traitement des données des mineurs et de 265 millions pour un déficit de protection des données. Ou encore de 390 millions en 2023, encore pour des problèmes de transparence.
À lire également
Meta n'est toutefois pas épinglé que pour ce motif. Il a aussi été repris par la Commission européenne pour avoir enfreint les règles de concurrence et les règles d'utilisation des données personnelles à des fins de publicité ciblée. Pour la première affaire, Bruxelles lui a infligé mi-novembre une amende bien plus salée, de 798 millions d'euros - le groupe a fait appel. Pour la seconde, il risque aussi une lourde sanction. Reste à voir si cela sera suffisant pour lui faire améliorer ses pratiques.
(Avec AFP)
latribune.fr
IA : la douche froide Broadcom fait vaciller les stars européennes des semi-conducteurs
IA : les géants Soitec et STMicroelectronics prêts à réduire la consommation électrique des data centers
Les salariés français à la traîne dans l’adoption de l’IA
Incendies, fuites, pannes, tempêtes... Les assureurs face à une concentration de risques sans précédent avec les « méga data centers » de l'IA
