Facebook : la nouvelle faille qui menace (un peu plus) votre vie privée

Publié le par Thibault Prévost,

A voir aussi sur Konbini

Stalking et revente de données personnelles

Découverte en avril dernier par un ingénieur informatique anglais nommé Reza Moaiandin, la faille permet à toute personne ayant accès à un algorithme de création aléatoire de numéros de téléphone et à l’interface de programmation (API) de Facebook (utilisé par les développeurs d’applications, notamment mobiles, et par conséquent très simple d’accès), de récupérer des informations personnelles telles que le nom, l’adresse ou les photos des utilisateurs. Des données qui peuvent ensuite être revendues au marché noir et faciliter le harcèlement anonyme ou le vol d’identité (aujourd’hui, une “identité” vaut environ 5$ sur le marché noir, selon une enquête du magazine TIME datée de 2013)
Le plus effrayant dans cette opération reste sa facilité d’exécution : le pirate, armé de son simple algorithme, génère des milliers de numéros de téléphone aléatoires par minute, un pays à la fois, et les envoie dans l’API de Facebook. À chaque fois qu’une correspondance entre un numéro et un profil est trouvée, Facebook l’indique au hacker, qui n’a plus qu’à récolter les informations.

Publicité

Le sniffing

Pour l’ingénieur britannique, qui indique avoir récolté des milliers de coordonnées d’utilisateurs aux États-Unis, au Canada et au Royaume-Uni, cette faille équivaut à “rentrer dans une banque, demander les informations personnelles de quelques milliers de clients en se basant sur leurs numéros de compte, et de se voir répondre ” voici leurs fichiers clients“.”
À l’inverse d’une fiche client, une partie des données visée est déjà publique, rétorqueront certains avec raison. Certes, mais d’une, le niveau de confidentialité par défaut choisi par Facebook pour protéger l’accès à ces informations étant nul, il serait risqué d’affirmer que tous les utilisateurs affichant publiquement leurs coordonnées le font en leur âme et conscience ; de deux, le numéro de téléphone d’un utilisateur n’est pas censé permettre à quiconque (et encore moins à n’importe qui) de récupérer ces données, surtout lorsque ce numéro est généré aléatoirement.
Si la pratique, baptisée sniffing, n’est pas illégale car elle ne constitue pas une intrusion, elle peut néanmoins faciliter le harcèlement, surtout dans le cas de célébrités. Et visiblement, c’est un risque que Facebook est prêt à prendre.

Publicité

“La vie privée de nos utilisateurs est extrêmement importante”

Car Reza Moaiandin, après avoir découvert et testé cette faille, s’est empressé de la signaler a l’entreprise californienne via leur plateforme dédiée. Comme le narre ensuite l’ingénieur sur sa page, son contact chez Facebook s’est révélé incapable de reproduire cette faille. Après une seconde alerte, fin juillet, Facebook a gentiment rétorqué à l’ingénieur que cette faille n’était “pas considérée comme une vulnérabilité”, l’interface de développement du réseau social étant strictement contrôlée par ses employés.
Contacté par le Guardian, un porte-parole de Facebook a ensuite déclaré que “la vie privée de [leurs] utilisateurs est extrêmement importante“. “Ceux qui utilisent Facebook contrôlent les informations qu’ils partagent”, a ajouté le porte-parole, “ce qui inclut les informations du profil et leur visibilité.” Le message est clair : si vous ne le faites pas vous-même, ne comptez pas sur Facebook pour protéger vos informations.

Publicité