Facebook bat sa coulpe auprès de 6 millions d’utilisateurs dont les données personnelles ont été exposées par une faille de sécurité restée exploitable pendant une durée indéterminée.
Sur chacun des profils affectés (0,6% des comptes, sur la base d’un milliard d’inscrits), numéro(s) de téléphone et/ou adresse(s) mail étaient, jusqu’à résorption de la brèche, potentiellement accessibles à n’importe quel membre du réseau social.
Repérée dans le cadre du programme White Hat, mené avec le concours de chercheurs en sécurité informatique, cette vulnérabilité touchait la fonction « Télécharger vos informations » (DYI, pour « Download Your Information »).
Les utilisateurs qui récupéraient, via cet outil, une archive de leurs données, pouvaient consulter, en clair, les informations liées à leurs contacts, quand bien même ces derniers en avaient restreint l’accès.
Dans un courriel d’avertissement adressé aux victimes dans la nuit du 21 au 22 juin, Facebook évoque un « bug » et en explique l’origine.
Lorsqu’un membre importe un carnet d’adresses e-mail, celui-ci est automatiquement mis en relation avec les informations de contact d’autres membres du réseau social pour alimenter l’algorithme de recommandation d’amis.
Ce qui permet, selon les équipes de Mark Zuckerberg, de « retrouver plus facilement ses connaissances […] et de ne pas inviter à rejoindre Facebook quelqu’un qui s’y est déjà inscrit« .
Et de relativiser l’ampleur de ce trou de sécurité : « Dans la plupart des cas, une seule personne – que vous connaissez sans forcément être son ami sur notre plate-forme – a eu accès à vos coordonnées« .
Rien ne prouve en outre, à en croire la lettre d’excuses publiée dans la foulée, qu’il y ait eu une utilisation malveillante de ces mails et numéros de téléphone. Aucune plainte n’aurait tout du moins été déposée en ce sens.
Facebook a déjà été pointé du doigt à de nombreuses reprises pour des manquements en matière de protection de la vie privée des internautes.
Dans ce dossier brûlant, le dernier épisode majeur remonte à septembre 2012, avec la diffusion présumée de messages privés des utilisateurs sur leurs espaces publics (Timeline).
—— A voir aussi ——
Quiz ITespresso.fr : avez-vous entendu parler du nouveau Facebook ?
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…
