Savoir qui sont vos amis sur Facebook est possible, même si vous le cachez

Nos confrères de Mashable ont remarqué une nouvelle bévue de la part de Facebook. Il est tout à fait possible de connaître les amis de quelqu'un, même si cette personne le cache. Comment ? Tout simplement en regardant les amis communs entre la personne qui cache ses contacts et celle n'ayant pas activé l'option de confidentialité.

Depuis très longtemps maintenant, Facebook vous permet de définir dans vos paramètres de confidentialité qui peut voir quoi (statuts, fans, etc.). Il est notamment possible de décider qui peut visualiser votre liste d'amis ou non. Cela va d'un accès totalement public à vos amis, les amis sauf les connaissances, certaines listes ou seulement vous-même. Bien entendu, il est aussi possible de personnaliser la visibilité de cette liste et de choisir précisément qui peut y accéder ou non.

Sauf que ces paramètres de confidentialité peuvent depuis longtemps être contournés, ceci d'une façon extrêmement simple. En effet, il suffit de trouver un ami de la personne en question qui vous a laissé accès à ses amis à son tour, vous verrez alors la liste de vos amis communs. Vous pourrez alors voir toutes les personnes qui sont amis avec lui et vous, même si les paramètres de confidentialité devraient vous interdire de voir qui sont ses amis. Tout le problème est que cette action peut être entièrement automatisée. En effet, cette nouvelle liste est facilement accessible via une URL spécifique : 

https://www.facebook.com/[Nom de la cible]/friends?and=[Non de l'ami de la cible]

Prili a ainsi diffusé sur GitHub un petit outil Python permettant de profiter de cette « faille » et d'automatiser la récupératon de la liste d'amis d'un tiers à travers des amis communs. De son côté Mashable a choisi le meilleur exemple possible pour illustrer cette parade. La cible n'est autre que Mark Zuckerberg, le fondateur de Facebook. Ce dernier n'affiche pas publiquement ses amis. Malheureusement pour lui, Chris Cox, Vice-Président Produit au sein du réseau social, a bien laissé publique sa liste de contacts. Et il est bien entendu ami avec Zuckerberg. Résultat, en utilisant l'URL suivante, il est possible de voir leurs nombreux amis en communs : https://www.facebook.com/zuck/friends?and=chris.cox.

Au moment où notre confrère a mis en ligne son article, le nombre d'amis communs était de 248. Selon notre dernier test, ils ne sont plus que 217, ce qui laisse penser que certains ont réagi. Parmi ces contacts communs, on retrouve sans surprise de (très) nombreux employés de Facebook, mais aussi des cadres de Dropbox, de Pinterest, de Mozilla, Square, Quip, etc. Bien entendu, l'astuce ne permet pas de connaitre l'intégralité des amis d'une personne en quelques secondes, mais en exploitant les premiers contacts en communs découverts, il est aisé de recouper les informations et d'obtenir une bonne partie des amis d'une personne, alors que cette dernière a pourtant précisé dans ses paramètres qu'elle ne souhaitait pas rendre publique une telle liste.

Afin de confirmer la viabilité de cette astuce, nous l'avons testée sur d'autres personnalités et même nos proches, et nous confirmons qu'elle fonctionne parfaitement. Par exemple, Eduardo Saverin (co-fondateur de Facebook) et Om Malik (de GigaOM) cachent tous les deux leurs amis. Malheureusement pour eux, ils comptent de nombreux contacts communs avec... Chris Cox. Il suffirait toutefois que ce dernier change ses paramètres pour que la ruse ne fonctionne plus avec lui. Il faudra alors trouver un autre « ami » qui aurait laissé visible sa liste d'amis.

Comme dans une chaîne, la confidentialité de certaines informations sur Facebook ne tient donc qu'à la vigilance du maillon le plus faible. Un problème courant, que l'on rencontre souvent lorsque certains répondent à des publications de leurs amis pensant qu'ils sont en privés, avant de s'apercevoir que celui-ci l'a diffusée de manière publique, et donc que tous les propos tenus le sont aussi.