Un ingénieur basé à Londres. Un script conçu sur mesure. Et 30 000 photos privées aspirées depuis les serveurs de Facebook, sans que les systèmes de détection de Meta ne bronchent. L’affaire, révélée le 7 avril par The Guardian, fait l’objet d’une enquête criminelle menée conjointement par l’unité cybercriminalité de la Metropolitan Police et le FBI. Elle pose une question qui dépasse le cas individuel : si un seul employé peut siphonner des milliers d’images personnelles en toute discrétion, que vaut réellement la protection de vos données chez le plus grand réseau social du monde ?
Un script taillé pour rester invisible
L’ex-ingénieur de Meta, dont l’identité n’a pas été rendue publique, ne s’est pas contenté de consulter les images depuis son poste de travail. Selon les informations relayées par Engadget et STV News, il a développé un programme informatique capable de contourner les contrôles de sécurité internes de Facebook. Le script lui permettait d’aspirer les photos privées d’utilisateurs tout en échappant aux systèmes automatisés censés repérer les accès anormaux.
Le volume donne le vertige : environ 30 000 images, toutes issues de comptes configurés en privé. Les photos n’étaient donc visibles ni par le public, ni par des « amis » non autorisés. Elles l’étaient, en revanche, par un salarié disposant d’un accès privilégié aux bases de données de la plateforme et suffisamment habile pour masquer ses traces.
Arrêté en novembre, libéré sous caution, attendu en mai
Meta affirme avoir découvert l’accès non autorisé « il y a plus d’un an ». L’entreprise a licencié l’ingénieur, prévenu les utilisateurs concernés, signalé les faits aux forces de l’ordre et renforcé ses mesures de sécurité. « Après avoir découvert un accès inapproprié par un employé il y a plus d’un an, nous avons immédiatement mis fin à son contrat, notifié les utilisateurs, transmis le dossier aux autorités et amélioré nos dispositifs de sécurité », a déclaré un porte-parole de Meta à Engadget.
L’homme, âgé d’une trentaine d’années, a été arrêté en novembre 2025 pour suspicion d’accès non autorisé à du matériel informatique. Relâché sous caution, il doit se présenter devant la Metropolitan Police en mai et informer les autorités de tout projet de voyage à l’étranger. L’Information Commissioner’s Office (ICO), le régulateur britannique de la protection des données, suit le dossier et travaille avec Meta pour s’assurer du respect des normes en vigueur.
Chez Meta, les précédents s’accumulent
L’affaire ne tombe pas dans un vide. En septembre 2024, la Commission irlandaise de protection des données a infligé à Meta une amende de 91 millions d’euros pour avoir stocké les mots de passe de centaines de millions d’utilisateurs en clair sur ses serveurs. L’enquête avait révélé un détail troublant : environ 2 000 ingénieurs ou développeurs de l’entreprise avaient effectué quelque neuf millions de requêtes internes accédant à ces mots de passe non chiffrés, selon The Hacker News.
En 2018, un bug avait déjà exposé les photos de 6,8 millions d’utilisateurs à des applications tierces. Plus récemment, des rapports ont signalé qu’un agent IA interne à Meta avait involontairement partagé des données sensibles avec des ingénieurs non autorisés, selon Cybersecurity Insiders. Chaque incident pris isolément peut ressembler à un accident. Mis bout à bout, ils dessinent un schéma récurrent : une architecture de données où les accès internes restent trop larges et les contrôles trop poreux.
Un employé sur trois est une menace potentielle (et il ne le sait pas)
Le cas de Meta reflète un problème structurel qui touche l’ensemble de l’industrie technologique. Selon un rapport compilé par Bright Defense, les menaces internes représentent 34 % de l’ensemble des fuites de données en 2025, contre 28 % en 2023. Le nombre d’incidents étudiés a grimpé de 3 269 en 2018 à 7 868 en 2025, et 76 % des organisations interrogées déclarent que la fréquence augmente.
Le coût moyen annuel des menaces internes pour une entreprise atteint 17,4 millions de dollars, selon les mêmes données. Le chiffre surprenant : 55 % de ces incidents proviennent d’employés négligents, pas malveillants. Un mot de passe partagé, un fichier mal protégé, un accès oublié après un changement de poste. Ajoutez les vols d’identifiants (20 %), et trois quarts des fuites internes n’impliquent aucune intention criminelle. Le quart restant, celui des actes délibérés, est le plus difficile à détecter. L’ingénieur londonien de Meta en est l’illustration.
L’intelligence artificielle complique encore l’équation. Selon Flashpoint, 92 % des organisations estiment que l’IA générative a modifié la façon dont les employés accèdent aux données et les partagent. Parmi les craintes citées : l’ingénierie sociale assistée par deepfake (69 % des entreprises), l’exfiltration automatisée (61 %) et l’abus d’identifiants augmenté par l’IA (53 %).
Ce que les utilisateurs peuvent (et ne peuvent pas) contrôler
Meta a notifié les 30 000 utilisateurs dont les photos ont été compromises. Pour les trois milliards d’utilisateurs restants, le communiqué laisse des zones d’ombre. Quelles mesures de sécurité ont été renforcées ? Quel niveau d’accès les ingénieurs conservent-ils sur les données privées ? L’entreprise n’a pas précisé.
Les réglages de confidentialité d’un profil Facebook protègent contre les regards extérieurs, pas contre ceux qui disposent d’un accès direct aux serveurs. C’est le paradoxe mis en lumière par cette affaire : verrouiller son compte revient à fermer sa porte à clé pendant que le serrurier possède un double. La prochaine audience de l’ingénieur est prévue en mai. L’ICO, de son côté, dispose désormais d’un dossier de plus pour évaluer si les géants de la tech protègent réellement les données qu’ils accumulent, ou s’ils se contentent de promettre qu’ils le font.
