Facebook : une potentielle fuite massive de données révélée

Tout est dans le mot potentielle 63
Nil Sanyas
Cela semblait inévitable : Facebook, le plus grand réseau social au monde, pourrait bien vivre sa première affaire de fuite massive d’informations personnelles. En effet, selon Symantec, qui explique brièvement la procédure, « depuis des années, des centaines de milliers d'applications ont pu laisser fuiter par inadvertance des millions de clés (jetons) à des tiers ».

FacebookSi Facebook a déjà dans le passé été au centre de plusieurs affaires, celle-ci pourrait faire plus de bruit. Averti du problème par Symantec, le réseau social américain planche sur le sujet et a déjà fait quelques améliorations. Malorie Lucich, porte-parole de Facebook, a ainsi noté que l’API défaillante pointée du doigt par Symantec a été retirée.

Cependant, la porte-parole de Facebook a au final nié en grande partie les faits. Elle a ainsi fait remarquer que le rapport de Symantec comprend « quelques inexactitudes » et qu’une étude interne a montré qu’ « aucune information confidentielle d’utilisateurs n’a été partagée avec des tiers ».

Pour rappel, lorsque vous installez une application sur FB, vous lui donnez certains droits, plus ou moins intrusifs, via des tokens (jetons). Ce sont ces tokens qui pourraient bien avoir été communiqués par inadvertance...

Selon Symantec, rien que le mois dernier, environ 100 000 applications Facebook ont à leur insu permis cette fuite de données à de tierces personnes, et en particulier des annonceurs publicitaires. Ce qui va bien entendu à l’encontre des obligations contractuelles reliant Facebook et les développeurs.

Le spécialiste de la sécurité précise que ces tiers avaient un total accès aux comptes, et qu’ils pouvaient même publier des messages sur leur mur et modifier leurs informations personnelles. « Heureusement, ces tierces parties ne pouvaient se rendre compte de leur capacité à accéder à cette information » tente de rassurer Symantec.

La fuite a en tout cas été confirmée par Facebook à Symantec. Reste cependant une question fondamentale qui n’a toujours pas de réponse : quelle est l’ampleur de cette fuite ? Si selon Symantec, cette fuite est potentiellement élevée (des millions de comptes peuvent être concernés), il ne s’agit que d’un potentiel. Rien n’assure donc que ce dernier a été exploité. Mais dans le doute…

« Nous craignons qu’un grand nombre de ces jetons (clés d’accès, ndlr) puisse encore être disponible dans des journaux de serveurs tiers ou encore activement utilisés par les annonceurs » conclu de manière pessimiste Symantec.

L’éditeur américain conseille de modifier son mot de passe Facebook par mesure de sécurité, afin d’invalider les mauvais tokens (jetons) et en changer. Si vous n’avez aucune application d’installée, les risques sont bien évidemment nuls.

Voilà qui pourrait quoi qu’il en soit relancer le débat sur les autorisations parfois incroyables que les utilisateurs « donnent » aux développeurs d’applications, que ce soit sur Facebook ou sur leur smartphone.