10 problèmes de sécurité chez Facebook

23 Mai 2019

Mark Zuckerberg a fêté ces 35 ans en mai. Joyeux anniversaire ! Mais nous doutons qu’il ait pu célébrer cet événement en toute discrétion, bien au contraire. Il fait face à une enquête fédérale qui cherche à le tenir personnellement responsable de la mauvaise gestion des données privées des utilisateurs. De plus, les scandales au sujet de Facebook ne cessent de faire la une. Cet article regroupe les 10 erreurs les plus importantes en matière de mauvaise gestion des données privées des utilisateurs Facebook.

  1. Cambridge Analytica : comment tout a commencé

Tout a commencé lorsque le scandale Cambridge Analytica a éclaté. Nos doutes ont été confirmés en 2018 puisque nous avons tous appris que les parties tierces pouvaient utiliser, sans notre consentement, les données et avis que nous partageons sur Facebook. Cambridge Analytica a recueilli les données de 50 millions d’utilisateurs Facebook et a utilisé ces données pour réaliser des campagnes publicitaires politiques. Ces actions ont bouleversé le monde entier, mais ce n’était que le début. Consultez l’article sur le scandale des données privées Facebook pour en savoir plus sur ces événements.

  1. Vol des tokens d’accès de Facebook

Facebook a été touché par un autre scandale un an et demi plus tard. Les pirates informatiques ont pu exploiter plusieurs vulnérabilités de Facebook et voler les tokens d’accès de millions d’utilisateurs Facebook. Ces tokens ressemblent tout simplement à des clés numériques et permettent aux personnes de rester connectées.

Au final, les tokens d’accès de 30 millions d’utilisateurs ont été volés. Les malfaiteurs ont pu accéder aux noms et coordonnées de 15 millions de personnes. Ils ont pu obtenir des informations plus détaillées et les activités de 14 millions d’utilisateurs Facebook, et quant au million restant, ils n’ont eu accès à aucune information. C’est à ce moment-là que les utilisateurs de Facebook se sont rendu compte que Facebook n’était pas imprenable, et que leurs comptes Facebook pouvaient être volés en masse sans qu’ils commettent la moindre erreur.

  1. Mots de passe Facebook et Instagram divulgués

Si 30 millions paraissaient peu, le prochain incident a affecté des centaines de millions d’utilisateurs Facebook et Instagram. Début 2019, Facebook a communiqué que les processus internes liés à la sécurité des données utilisateur étaient loin d’être parfaits. L’entreprise a reconnu qu’elle sauvegardait certains mots de passe de comptes Facebook et Instagram en texte brut. Elle a insisté sur le fait que seuls les employés pouvaient voir ces mots de passe et que personne n’a abusé des droits d’accès.

Nous ne connaissons pas encore le nombre exact d’utilisateurs affectés par cette fuite de données privées. L’entreprise a d’abord dit que ce problème de sécurité impliquait des centaines de millions d’utilisateurs Facebook Lite, des dizaines de millions d’utilisateurs de la version normale de Facebook, et des dizaines de milliers d’utilisateurs Instagram. Un mois plus tard, l’entreprise a corrigé ses dires pour communiquer que le problème (désormais résolu) n’avait pas affecté des dizaines de milliers d’utilisateurs Instagram mais des millions.

  1. Mots de passe Instagram à nouveau révélés

En réalité, ce n’était pas la première fois que les utilisateurs Instagram apprenaient que leurs mots de passe avaient peut-être été divulgués. Quelques mois plus tôt, il s’est avéré que la fonction « Téléchargement des données » d’Instagram contenait une faille de sécurité (désormais corrigée) qui aurait pu malencontreusement révéler certains mots de passe Instagram. Si quelqu’un communiquait ses identifiants de connexion pour utiliser cette fonction, une URL avec le mot de passe était incluse aux navigateurs Web et, là encore, les informations étaient sauvegardées sur les serveurs de Facebook en texte brut.

  1. Facebook a demandé les mots de passe d’adresses e-mail et a divulgué leurs contacts

Facebook a divulgué les adresses e-mail des contacts de 1,5 millions d’utilisateurs sans leur consentement. En réalité, les choses sont un peu plus compliquées que cela. Voici ce qu’il s’est passé : Facebook demandait à un sous-ensemble de nouveaux venus de vérifier leur identité en communiquant le mot de passe de leur compte e-mail. Beaucoup ont cru qu’il s’agissait d’un poisson d’avril. Aucun internaute averti ne peut imaginer qu’un tiers puisse accéder à ses communications par e-mail. Malheureusement ce n’était pas une blague, et beaucoup se sont fait avoir.

Facebook a insisté sur le fait qu’il n’a pas accédé aux contenus des e-mails des utilisateurs ; ils ont juste involontairement recueilli leurs contacts. Ils ont finalement obtenu les contacts de 1,5 millions d’utilisateurs. Étant donné que les gens peuvent avoir un répertoire avec des centaines de contacts, le nombre final de personnes dont les coordonnées ont été divulguées de cette façon pourraient s’élever à des dizaines de millions. L’entreprise dit avoir utilisé les données privées des utilisateurs Facebook pour améliorer le ciblage des publicités, construire le site Web des connexions sociales de Facebook, et recommander de nouveaux amis aux utilisateurs.

  1. 2FA sur Facebook, un outil pour les annonceurs

Il est évident que nous voulons tous protéger nos comptes, et l’authentification à deux facteurs semble être la méthode parfaite. Mais certains problèmes apparaissent même dans cette situation. Par exemple, le numéro de téléphone que vous fournissez pour autoriser l’authentification à deux facteurs sur votre compte Facebook va automatiquement être associé à votre profil, sans exception. Par conséquent, n’importe quelle personne, avec ou sans compte, peut consulter votre profil utilisateur en utilisant votre numéro de téléphone. Bonus : Facebook peut aussi cibler ce numéro pour des publicités.

  1. Vos contacts ne sont jamais à l’abri des annonceurs, et c’est la faute à Facebook

Comme nous l’avons brièvement mentionné auparavant, Facebook et Instagram autorisaient les annonceurs à accéder aux coordonnées des personnes que les utilisateurs n’avaient même pas sauvegardées sur Facebook ! En d’autres termes, les annonceurs pouvaient (et peuvent sûrement encore le faire) vous prendre pour cible grâce aux adresses e-mail et numéros de téléphone que vous avez saisi dans la partie « Informations générales et coordonnées », et à d’autres données privées révélées par Facebook.

Ces données peuvent inclure le numéro de téléphone que vous avez saisi pour la 2FA et les adresses e-mail pour le contenu publicitaire que vous communiquez pour obtenir des réductions ou faire des achats en ligne. Si un de vos contacts décide de partager (« synchroniser ») ses contacts avec Facebook, ou de télécharger son répertoire sur Facebook pour « trouver des amis », et que sa liste de contacts inclut un de vos numéros de téléphone, même si vous n’avez jamais saisi ces informations sur Facebook, alors les annonceurs peuvent vous envoyer des publicités grâce à ce numéro de téléphone.

  1. Facebook partage les données avec les annonceurs.

Les documents internes filtrés ont démontré que Facebook utilisait les données privées des utilisateurs pour favoriser les entreprises associées. Par exemple, Amazon.com dépensaient des sommes colossales dans les publicités sur Facebook et pouvaient ainsi obtenir les noms et adresse e-mail des utilisateurs grâce à leurs amis, tout comme l’ont fait Sony, Microsoft, et bien d’autres entreprises.

Le moteur de recherche Bing de Microsoft a pu voir les noms de tous vos amis virtuels sur Facebook sans votre (ou leur) consentement. Netflix, Spotify, et la Royal Bank of Canada ont obtenu certains privilèges permettant de lire, écrire et effacer vos messages privés, et de voir tous les participants d’une discussion. Les appareils Apple avaient accès aux numéros de téléphone du répertoire et au calendrier des personnes qui avaient pourtant modifié les paramètres de leur compte pour désactiver le partage.

Les entreprises impliquées ont indiqué n’avoir jamais fait une mauvaise utilisation des données auxquelles elles ont eu accès, et certaines ont même déclaré qu’elles ne savaient pas qu’elles profitaient de ces droits « étendus ».

             9. Facebook Marketplace a révélé l’emplacement exact des vendeurs

Une faille de sécurité (désormais corrigée) de la marketplace numérique de Facebook a révélé l’emplacement exact des vendeurs (coordonnées latitudinales et longitudinales) et, par extension, de leurs biens. Il n’était pas nécessaire de se connecter à Facebook pour savoir où ils se trouvaient, et c’est pourquoi certains chercheurs désignaient le service comme la « liste des courses pour les voleurs ». Cette situation était particulièrement inquiétante pour les personnes qui vendaient des vélos assez chers, puisqu’ils sont un appât intéressant pour les cybercriminels, et Marketplace leur offrait tout simplement ces vélos en révélant l’emplacement des vendeurs.

  1. Données Facebook révélées par un tiers

Des bases de données contenant les informations relatives aux utilisateurs Facebook ont été trouvées sur le site ouvert. Les informations apparaissaient en texte brut, ce qui permettait à n’importe qui d’y avoir accès et de les télécharger. Un ensemble de données venait de l’application d’un jeu Facebook « At the Pool » qui n’est plus utilisé depuis un certain temps. La seconde base de données contenait plus de 540 millions d’enregistrements, et appartenait à Cultura Colectiva, un éditeur de médias numériques basé au Mexique qui opère dans toute l’Amérique latine. Les deux bases de données ont révélé les noms et adresses e-mail des utilisateurs, leur liste d’amis, les « j’aime », les commentaires, et tous les détails qui peuvent être utilisés pour analyser les préférences et les intérêts de chacun.

Même si les informations n’étaient pas particulièrement sensibles, et que le personnel de Facebook n’avait rien à voir avec ces divulgations, ces cas soulèvent à nouveau certaines questions sur comment Facebook partagent les donnés utilisateur avec les tiers, et nous rappellent le scandale Cambridge Analytica qui est à l’origine de ce texte.

Si après avoir lu cet article vous sentez que vous en avez marre des manigances de Facebook, alors vous pouvez trouver toutes les instructions à suivre pour supprimer votre compte Facebook sur notre blog. Cette décision vous appartient.