Depuis plusieurs mois, Facebook enchaîne les « bugs ». En juin, nous apprenions que les statuts privés de 14 millions d'utilisateurs avaient pu être rendus publics. En juillet, des contacts de 800 000 utilisateurs avaient pu être débloqués. Plus récemment, en novembre, des informations personnelles étaient accessibles en manipulant le Graph Search.
C'est désormais au tour de l'API Photo d'être victime d'un « bug » dans le langage de Facebook, d'une faille pour les autres : près de 1 500 applications tierces (de 867 développeurs) ont pu accéder sans autorisation à certaines photos des utilisateurs. L'incident s'est déroulé du 13 au 25 septembre 2018.
Lorsqu'un utilisateur laisse une application tierce accéder à ses photos, elle ne peut normalement récupérer que celles ayant déjà été partagées sur le réseau social. Cette faille permettait aux applications d'accéder aux clichés de la Marketplace, des Stories et même ceux n'ayant jamais été publiés. Facebook explique que lorsqu'un utilisateur envoie une photo sans la mettre en ligne, elle est conservée pendant trois jours pour être récupérée facilement si besoin.
« Au début de la semaine prochaine, nous proposerons aux développeurs des outils leur permettant de déterminer leurs utilisateurs susceptibles d'être affectés par ce bug », explique le réseau social. Ce dernier précise qu'il travaillera avec les développeurs pour supprimer les éventuelles photos récupérées. Une notification sera également envoyée aux utilisateurs concernés.
Le régulateur irlandais (le siège européen de Facebook est à Dublin pour rappel) a d'ores et déjà annoncé qu'il enquêtait sur cette fuite de données afin de « déterminer si Facebook s'était conformée aux nouvelles règles strictes de l'Union européenne en matière de protection de la vie privée dans sa réponse à un certain nombre failles, notamment celle qui exposait les photos ». De son côté, la société indique travailler avec le régulateur.
Ce dernier se penche notamment sur le délai entre la période où la faille était active (13 au 25 septembre) et la date à laquelle les autorités ont été informées : le 22 novembre. Facebook affirme l'avoir fait immédiatement après avoir « établi que l'incident était considéré comme une infraction à signaler ».
Pour rappel, en cas de condamnation, l'amende peut atteindre 4 % du chiffre d'affaires mondial, soit près de 1,6 milliard de dollars (en se basant sur les revenus de 2017).
