Meta a dévoilé sa nouvelle méthode afin d’éviter le vol de données de ses utilisateurs par la méthode dite du scraping sur Facebook. Elle consiste à modifier les identifiants dans les URL afin qu’ils soient uniques et basées sur une rotation temporelle.

Qu’est-ce que le scraping ?

Le scraping est une technique, qui peut être autorisée ou non, permettant d’extraire les données personnelles des utilisateurs grâce à divers outils et logiciels pour ensuite constituer une importante base de données. Le réseau social Facebook a, à plusieurs reprises, fait les frais de cette méthode : pour obtenir des données sur ses utilisateurs, les cybercriminels traquent les identifiants Facebook (FBID), qui permettent de référencer de manière unique des personnes ou des contenus tels que des messages, des photos et des vidéos.

L’année dernière par exemple, les données de plus d’1 milliard d’utilisateurs du réseau social ont été mises en vente sur un forum de hackers à cause d’un scraping géant. Comme l’explique Meta dans un billet de blog, les pirates tentent de deviner les FBID à partir des URL ou achètent des listes d’identifiants auprès d’autres hackers :

« Le scraping non autorisé consiste souvent à deviner des identifiants ou à utiliser des identifiants achetés pour gratter les données de personnes. Dans certains cas, les racleurs collectent des identifiants et recoupent des numéros de téléphone ou d'autres données accessibles au public pour créer des ensembles de données réutilisables qui sont parfois vendus à profit ».

Les identifiants pseudonymes de Facebook

C’est donc en modifiant ces identifiants si précieux aux yeux des cybercriminels que le réseau social espère les contrer. Il a ainsi créé des identifiants pseudonymes, qui combinent les horodatages et les FBID pour générer un identifiant unique. De cette manière, les identifiants n’ont pas une longue durée de vie et il est donc difficile d’extraire des données à partir de ces derniers.

Un identifiant pseudonyme sur Facebook.

Démonstration d'un identifiant pseudonyme sur Facebook. Image : Meta

Meta précise néanmoins que ses nouveaux identifiants n’empêchent pas le tracking publicitaire, et ne protègent que contre le scraping, ce qui veut dire que d’autres types de cyberattaques peuvent encore être menées. Malgré tout, cette démarche de la part du géant de la Silicon Valley démontre les enjeux en matière de cybersécurité ; l’année dernière, les données de 533 millions d’utilisateurs de Facebook se sont retrouvées en ligne, tandis que la cybercriminalité est en forte hausse dans le monde entier.

Par ailleurs, l’entreprise veut démontrer qu’elle protège assidûment les données de ses utilisateurs, notamment car son image a été grandement entachée à la suite du scandale Cambridge Analytica en 2018.