Comme plus de la moitié des comptes Facebook du pays figurent dans , il y a bien entendu de «gros poissons».
Selon la liste que nous avons pu consulter, parmi les 188.000 victimes luxembourgeoises de ce hack figurent le Premier ministre, (DP), le chef de la diplomatie, (LSAP), le ministre de l’Économie, (LSAP), le ministre des Classes moyennes et du Tourisme, (DP), ou encore le chef des Pirates, .
Pour quelques autres, il convient d’être plus prudent parce que leur nom et certaines données y figurent sans que l’on puisse vraiment savoir s’il s’agit bien d’eux ou d’un homonyme. Comme le ministre du Travail, de l’Emploi et de l’Économie sociale et solidaire, (LSAP), le ministre de l’Enseignement supérieur et de la Recherche, (DP), ou encore le ministre de l’Agriculture, de la Viticulture et du Développement rural, et ministre de la Sécurité sociale, (LSAP).
N’y sont pas repris les ministres de la Santé, (LSAP), de l’Énergie, (déi Gréng), de la Justice, (déi Gréng), des Finances, (DP), ni de la Famille, (DP).
Tous les politiques ou décideurs ne sont pas dans la même situation. Le compte de Xavier Bettel contient, sans restrictions, la plupart des informations qui figurent dans les données volées à Facebook, à l’exception de son numéro de téléphone. Alors que les comptes de Jean Asselborn et Dan Kersch n’offrent aucune information publique par défaut.
À nouveau la preuve qu’on doit faire très attention à ce que l’on partage avec ces sociétés.
Contacté par Paperjam, Sven Clement, par exemple, explique: «Je traite toutes les informations que je partage avec Facebook comme publiques et je gère ce risque en conséquence, je n’ai pas besoin de changer de comportement. Cependant, je m’attends à une notification officielle de Facebook à court terme, sans quoi je le dénoncerai à la CNPD pour non-respect du RGPD. Ils ont mon numéro de téléphone juste pour pouvoir vérifier l’identité de mon compte de politicien. Mais vu que mon numéro est sur internet et dans des signatures d’e-mails, cette fuite n’ouvre pas vraiment un nouveau vecteur d’attaque.»
«C’est à nouveau la preuve», indique le chef des Pirates, «qu’on doit faire très attention à ce que l’on partage avec ces sociétés».
Les données dont on parle dans ce contexte sont les suivantes: nom, prénom, numéro de téléphone, adresse e-mail, localisation, date de la dernière connexion avant le vol des données. Selon Facebook, une partie de ces données faisaient déjà partie d’un vol précédent.
Un des premiers enseignements de cette histoire réside probablement dans le nombre de comptes qui ont été créés avec une adresse e-mail professionnelle, que ce soit depuis le secteur public ou depuis une entreprise privée.
Que faire?
Vu le nombre de personnes concernées, il est préférable de se considérer comme concerné par défaut.
- La première chose est de commencer par changer votre mot de passe pour un mot de passe fort et unique;
- Vérifiez les informations que Facebook détient sur vous;
- Supprimez celles qui ne sont pas utiles sur les différents réseaux sociaux;
- Soyez attentifs aux e-mails ou aux SMS qui pourraient être des tentatives d’hameçonnage, surtout ceux qui semblent venir de votre banque ou de votre assurance, .
- Pour l’instant, le dossier est géré par les agences nationales en charge de faire respecter le Règlement général sur la protection des données – la CNPD au Luxembourg –, mais c’est la DPC irlandaise qui centralise le dossier puisque Facebook a son quartier général européen à Dublin. Les mesures prises par le réseau social, comme la notification des personnes concernées ou les mesures de sécurité mises en œuvre, seront communiquées ultérieurement.