Durant le week-end, Facebook a fait parvenir à plus de six millions de personnes un email d’excuse. L’entreprise y explique qu’un bug dans l’outil DYI (Download Your Information) a provoqué une fuite limitée d’informations personnelles. Aucune utilisation malveillante ne serait à déplorer.
L’outil DYI peut être utilisé sur Facebook pour télécharger l’ensemble des données personnelles d’un compte. Il se destine avant tout à ceux qui veulent faire le point sur les informations confiées à Facebook. Mais ce module du réseau social contenait un bug à cause duquel des données personnelles d’autres utilisateurs se retrouvaient dans les archives. C’est le cas des adresses email et des numéros de téléphone des personnes cherchées sur Facebook.
Facebook « pris de court »
Selon la société, environ six millions d’utilisateurs ont été touchés par cette faille. Des emails ont été envoyés durant le week-end pour avertir les internautes concernés :
Dans sa communication, Facebook se dit « pris de court » par ce bug et avertit chaque utilisateur affecté que des données personnelles ont été transmises à un tiers. L’aspect limité du problème, en regard du potentiel dévastateur d’une fuite plus grande chez Facebook, n’empêche pas l’entreprise d’être particulièrement sur la défensive.
« Le partage accidentel de coordonnées est inacceptable »
Le réseau social explique ainsi que le déplacement des informations intervient lors des recommandations d’amis générées automatiquement par le service. Lorsque l’utilisateur fait une recherche, il peut arriver que ses propres informations soient copiées dans les archives des utilisateurs cherchés et/ou recommandés. Si ces derniers se servent de l’outil DYI, ils peuvent alors voir ces informations. Ce qui n’empêche pas Facebook d’insister sur deux points : seules les adresses email et les numéros de téléphone ont été vus, et les personnes qui ont obtenu ces informations ne sont pas forcément étrangères, « même si vous n’êtes pas amis sur Facebook ».
La société indique cependant que « le partage accidentel de coordonnées est inacceptable » et qu’elle a pris « toutes les mesures nécessaires pour empêcher que cela ne se reproduise ». Dans un billet expliquant la situation, Facebook précise en outre qu’aucun cas d’exploitation malveillante du bug n’est connu et qu’elle va redoubler d’efforts pour qu’un tel problème ne se reproduise pas.
Le fait est qu’un tel incident, même s’il est de portée limitée, survient à un très mauvais moment. Les regards se tournent en effet davantage vers le respect de la vie privée, alors même que le scandale du programme américain de surveillance Prism éclabousse déjà les firmes américaines. Pour les utilisateurs de Facebook, il pourrait s’agir d’un élément déclencheur d’une suppression de compte, comme certains l’annoncent dans les commentaires du billet officiel.
Notez enfin que cette faille a été trouvée dans le cadre du programme Bug Bounty de Facebook, qui permet à des chercheurs en sécurité d'être récompensés pour le travail en espèces sonnantes et trébuchantes.
