Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Facebook Groups : une centaine de développeurs pouvaient accéder aux données de membres

Nouveau problème de sécurité pour le réseau social, qui ne s’en cache pas : l’information provient de son propre communiqué.

L’entreprise rappelle qu’en avril 2018, elle a procédé à plusieurs changements sur son API Groups, dont les autorisations pouvaient être utilisées trop largement pour accéder aux données des utilisateurs. Depuis le serrage de vis, une surveillance a été mise en place.

Facebook avertit ainsi que des applications gardaient un accès à des informations comme le nom et la photo de profil, en lien avec l’activité du groupe auquel un utilisateur pouvait être inscrit. Ces accès ont été coupés.

La société annonce également qu’une centaine de « partenaires » ont été contactés pour des accès potentiels à ces informations après avril 2018. Elle ne semble pas certain du nombre exact, mais ajoute que 11 d’entre eux ont accédé à ces informations durant les deux derniers mois.

Il n’y aurait selon Facebook aucun abus, mais demande a été faite aux partenaires de supprimer les informations qui seraient encore en leur possession. Des audits sont prévus pour vérifier que le travail aura été bien fait.

9 commentaires
Avatar de iFrancois Abonné
Avatar de iFrancoisiFrancois- 06/11/19 à 09:21:52

Ils se sont inspirés d'Adobe pour leur sécurité chez Facebook ? Tous les jours une nouvelle histoire :roll:

Avatar de j34n-r0x0r INpactien
Avatar de j34n-r0x0rj34n-r0x0r- 06/11/19 à 13:02:31

Que pour les jeux en flash normalement.:D

Avatar de boogieplayer Abonné
Avatar de boogieplayerboogieplayer- 06/11/19 à 13:17:45

Bien sûr que les dev on accès à tout, c'est comme ça depuis la nuit des temps de l'informatique. Même qu'on appelle ça le God Mode

Avatar de Kevsler INpactien
Avatar de KevslerKevsler- 06/11/19 à 13:42:45

Fist mode... nan ? On parle de Facebook là :p

Avatar de boogieplayer Abonné
Avatar de boogieplayerboogieplayer- 06/11/19 à 14:47:19

:francais:

Avatar de Ricard INpactien
Avatar de RicardRicard- 06/11/19 à 18:17:57

Au risque de me répéter..... "Ho mon Dieu.... s'pas possible"

Ca en devient lassant. :fumer:

Avatar de wanou Abonné
Avatar de wanouwanou- 07/11/19 à 16:20:56

boogieplayer a écrit :

Bien sûr que les dev on accès à tout, c'est comme ça depuis la nuit des temps de l'informatique. Même qu'on appelle ça le God Mode

Pas si les données sont chiffrées et que les dev ne les ont pas.

Avatar de boogieplayer Abonné
Avatar de boogieplayerboogieplayer- 07/11/19 à 16:28:11

wanou a écrit :

Pas si les données sont chiffrées et que les dev ne les ont pas.

Tu me sembles bien naïf jeune padawan.

Juste un exemple : les mot de passe. Rien n’empêche un dev de faire un bout de script qui enregistre les mdp en clair avant des les stocker en chiffrées. Rien n’empêche un dev de faire un script qui permet de se connecter à TOUS les comptes avec son mot de passe à lui. Etc... Etc...

Avatar de wanou Abonné
Avatar de wanouwanou- 07/11/19 à 21:19:17

Je ne suis ni jeune ni ton padawan.

Oui, actuellement, le respect des données personnelles est laissée au bon vouloir des DEV mais ce n'est pas une fatalité technique.

Tout est question d'API. Prenons un exemple: watsapp ou WeChat.

Les deux applications demandent d'avoir accès aux contacts (obligation côté Wechat), pour permettre:

  • de visualiser le nom correspondant à un numéro si ce numéro est dans le répertoire ;
  • d'aspirer la liste exaustive des liens de l'utilisateur pour cartographier les données.

Le premier usage semble assez légitime mais le deuxième est carrément abusif.

Si l'API permet un accès complet, alors il est impossible de pouvoir choisir entre les deux usages.
Si l'API ne permet que de demander le nom correspondant à un numéro donné, avec un nombre limité de requêtes par jours, alors il est possible d'empêcher un DEV de faire ce qu'il veut.

Et pour les big brother façon WeChat, il faudrait des API qui renvoient des données moisie si le programme exige cet accès et que l'utilisateur ne le veut pas.

Bref, il y a moyen de bloquer les actions des DEV indélicats.

Il n'est plus possible de commenter cette actualité.