Les organismes de surveillance de la vie privée de l’Union européenne ont infligé lundi à Meta, propriétaire de Facebook, des amendes totalisant 251 millions d’euros après une enquête sur une violation de données en 2018 sur la plateforme de médias sociaux qui a révélé des millions de comptes.
La Commission irlandaise de protection des données a imposé ces sanctions après avoir bouclé son enquête sur cette violation, lorsque des pirates ont accédé aux comptes d’utilisateurs en exploitant des bugs dans le code de la plateforme qui leur ont permis de voler des clés numériques, connues sous le nom de « jetons d’accès ».
Dans le cadre du régime strict de protection de la vie privée de l’UE, l’organisme de surveillance irlandais est le principal régulateur de la vie privée de Meta, car le siège régional de l’entreprise est basé à Dublin.
L’organisme de surveillance a émis des réprimandes et des « sanctions administratives » d’un montant de 251 millions d’euros après avoir constaté de multiples violations des règles, connues sous le nom de Règlement général sur la protection des données.
L’entreprise a annoncé qu’elle ferait appel de la décision.
« Cette décision concerne un incident survenu en 2018. Nous avons pris des mesures immédiates pour résoudre le problème dès qu’il a été identifié », a déclaré Meta dans un communiqué. La société a déclaré avoir « informé de manière proactive les personnes concernées » ainsi que l’organisme de surveillance irlandais.
Lorsqu’il a révélé le problème pour la première fois, Facebook a déclaré que 50 millions de comptes d’utilisateurs étaient concernés. Mais le nombre réel était d’environ 29 millions, dont 3 millions en Europe, a indiqué mardi l’organisme de surveillance irlandais.
La société a déclaré qu’après avoir découvert le bug, elle avait alerté le FBI et les régulateurs aux États-Unis et en Europe.
Le piratage impliquait trois bugs distincts dans la fonctionnalité « Afficher en tant que » de Facebook, qui permettait aux utilisateurs de voir comment leur profil apparaît aux autres. Les attaquants ont utilisé cette vulnérabilité pour voler des jetons d’accès sur les comptes de personnes dont les profils apparaissaient lors de recherches à l’aide de la fonctionnalité « Afficher en tant que ». L’attaque s’est ensuite déplacée d’un ami Facebook d’un utilisateur à un autre. La possession de ces jetons permettrait aux attaquants de contrôler ces comptes.