{"id":11760,"date":"2019-05-23T10:24:15","date_gmt":"2019-05-23T10:24:15","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=11760"},"modified":"2019-11-22T08:50:29","modified_gmt":"2019-11-22T08:50:29","slug":"facebook-10-fails","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/facebook-10-fails\/11760\/","title":{"rendered":"10 probl\u00e8mes de s\u00e9curit\u00e9 chez Facebook"},"content":{"rendered":"

Mark Zuckerberg a f\u00eat\u00e9 ces 35 ans en mai. Joyeux anniversaire\u00a0! Mais nous doutons qu\u2019il ait pu c\u00e9l\u00e9brer cet \u00e9v\u00e9nement en toute discr\u00e9tion, bien au contraire. Il fait face \u00e0 une enqu\u00eate f\u00e9d\u00e9rale qui cherche<\/a> \u00e0 le tenir personnellement responsable de la mauvaise gestion des donn\u00e9es priv\u00e9es des utilisateurs. <\/strong>De plus, les scandales au sujet de Facebook ne cessent de faire la une. Cet article regroupe les 10 erreurs les plus importantes en mati\u00e8re de mauvaise gestion des donn\u00e9es priv\u00e9es des utilisateurs Facebook<\/strong><\/span>.<\/p>\n

    \n
  1. Cambridge Analytica : comment tout a commenc\u00e9<\/strong><\/li>\n<\/ol>\n

    Tout a commenc\u00e9 lorsque le scandale Cambridge Analytica a \u00e9clat\u00e9. Nos doutes ont \u00e9t\u00e9 confirm\u00e9s en 2018 puisque nous avons tous appris que les parties tierces pouvaient utiliser, sans notre consentement, les donn\u00e9es et avis que nous partageons sur Facebook. Cambridge Analytica a recueilli les donn\u00e9es de 50 millions d\u2019utilisateurs Facebook et a utilis\u00e9 ces donn\u00e9es pour r\u00e9aliser des campagnes publicitaires politiques. Ces actions ont boulevers\u00e9 le monde entier, mais ce n\u2019\u00e9tait que le d\u00e9but. Consultez l\u2019article<\/a> sur le scandale des donn\u00e9es priv\u00e9e<\/strong><\/span>s Facebook<\/strong><\/span> pour en savoir plus sur ces \u00e9v\u00e9nements.<\/p>\n

      \n
    1. Vol des tokens d\u2019acc\u00e8s de Facebook<\/strong><\/li>\n<\/ol>\n

      Facebook a \u00e9t\u00e9 touch\u00e9 par un autre scandale un an et demi plus tard. Les pirates informatiques ont pu exploiter plusieurs vuln\u00e9rabilit\u00e9s de Facebook et voler les tokens d\u2019acc\u00e8s de millions d\u2019utilisateurs Facebook. Ces tokens ressemblent tout simplement \u00e0 des cl\u00e9s num\u00e9riques et permettent aux personnes de rester connect\u00e9es.<\/p>\n

      Au final, les tokens d\u2019acc\u00e8s de 30 millions d\u2019utilisateurs ont \u00e9t\u00e9 vol\u00e9s. Les malfaiteurs ont pu acc\u00e9der aux noms et coordonn\u00e9es de 15 millions de personnes. Ils ont pu obtenir des informations plus d\u00e9taill\u00e9es et les activit\u00e9s de 14 millions d\u2019utilisateurs Facebook, et quant au million restant, ils n\u2019ont eu acc\u00e8s \u00e0 aucune information. C\u2019est \u00e0 ce moment-l\u00e0 que les utilisateurs de Facebook se sont rendu compte que Facebook n\u2019\u00e9tait pas imprenable, et que leurs comptes Facebook<\/strong><\/span> pouvaient \u00eatre vol\u00e9s<\/strong><\/span> en masse sans qu\u2019ils commettent la moindre erreur.<\/p>\n\n

        \n
      1. Mots de passe Facebook et Instagram divulgu\u00e9s<\/strong><\/li>\n<\/ol>\n

        Si 30 millions paraissaient peu, le prochain incident a affect\u00e9 des centaines de millions d\u2019utilisateurs Facebook et Instagram. D\u00e9but 2019, Facebook a communiqu\u00e9 que les processus internes li\u00e9s \u00e0 la s\u00e9curit\u00e9 des donn\u00e9es<\/strong><\/span> utilisateur \u00e9taient loin d\u2019\u00eatre parfaits. L\u2019entreprise a reconnu qu\u2019elle sauvegardait<\/a> certains mots de passe de comptes Facebook et Instagram en texte brut. Elle a insist\u00e9 sur le fait que seuls les employ\u00e9s pouvaient voir ces mots de passe et que personne n\u2019a abus\u00e9 des droits d\u2019acc\u00e8s.<\/p>\n

        Nous ne connaissons pas encore le nombre exact d\u2019utilisateurs affect\u00e9s par cette fuite de donn\u00e9es priv\u00e9es<\/strong><\/span>. L\u2019entreprise a d\u2019abord dit que ce probl\u00e8me de s\u00e9curit\u00e9 impliquait des centaines de millions d\u2019utilisateurs Facebook Lite, des dizaines de millions d\u2019utilisateurs de la version normale de Facebook, et des dizaines de milliers d\u2019utilisateurs Instagram. Un mois plus tard, l\u2019entreprise a corrig\u00e9 ses dires pour communiquer que le probl\u00e8me (d\u00e9sormais r\u00e9solu) n\u2019avait pas affect\u00e9 des dizaines de milliers d\u2019utilisateurs Instagram mais des millions.<\/p>\n

          \n
        1. Mots de passe Instagram \u00e0 nouveau r\u00e9v\u00e9l\u00e9s<\/strong><\/li>\n<\/ol>\n

          En r\u00e9alit\u00e9, ce n\u2019\u00e9tait pas la premi\u00e8re fois que les utilisateurs Instagram apprenaient que leurs mots de passe avaient peut-\u00eatre \u00e9t\u00e9 divulgu\u00e9s. Quelques mois plus t\u00f4t, il s\u2019est av\u00e9r\u00e9 que la fonction \u00ab\u00a0T\u00e9l\u00e9chargement des donn\u00e9es\u00a0\u00bb d\u2019Instagram contenait une faille de s\u00e9curit\u00e9<\/a> (d\u00e9sormais corrig\u00e9e) qui aurait pu malencontreusement r\u00e9v\u00e9ler certains mots de passe Instagram. Si quelqu\u2019un communiquait ses identifiants de connexion pour utiliser cette fonction, une URL avec le mot de passe \u00e9tait incluse aux navigateurs Web et, l\u00e0 encore, les informations \u00e9taient sauvegard\u00e9es sur les serveurs de Facebook en texte brut.<\/p>\n

            \n
          1. Facebook a demand\u00e9 les mots de passe d\u2019adresses e-mail et a divulgu\u00e9 leurs contacts<\/strong><\/li>\n<\/ol>\n

            Facebook a divulgu\u00e9 les adresses e-mail des contacts de 1,5 millions d\u2019utilisateurs sans leur consentement. En r\u00e9alit\u00e9, les choses sont un peu plus compliqu\u00e9es que cela. Voici ce qu\u2019il s\u2019est pass\u00e9\u00a0: Facebook demandait<\/a> \u00e0 un sous-ensemble de nouveaux venus de v\u00e9rifier leur identit\u00e9 en communiquant le mot de passe de leur compte e-mail. Beaucoup ont cru qu\u2019il s\u2019agissait d\u2019un poisson d\u2019avril. Aucun internaute averti ne peut imaginer qu\u2019un tiers puisse acc\u00e9der \u00e0 ses communications par e-mail. Malheureusement ce n\u2019\u00e9tait pas une blague, et beaucoup se sont fait avoir.<\/p>\n

            Facebook a insist\u00e9<\/a> sur le fait qu\u2019il n\u2019a pas acc\u00e9d\u00e9 aux contenus des e-mails des utilisateurs\u00a0; ils ont juste involontairement recueilli leurs contacts. Ils ont finalement obtenu les contacts de 1,5 millions d\u2019utilisateurs. \u00c9tant donn\u00e9 que les gens peuvent avoir un r\u00e9pertoire avec des centaines de contacts, le nombre final de personnes dont les coordonn\u00e9es ont \u00e9t\u00e9 divulgu\u00e9es de cette fa\u00e7on pourraient s\u2019\u00e9lever \u00e0 des dizaines de millions. L\u2019entreprise dit avoir utilis\u00e9 les donn\u00e9es priv\u00e9es des utilisateurs Facebook pour am\u00e9liorer le ciblage des publicit\u00e9s, construire le site Web des connexions sociales de Facebook, et recommander de nouveaux amis aux utilisateurs.<\/p>\n

              \n
            1. 2FA sur Facebook, un outil pour les annonceurs<\/strong><\/li>\n<\/ol>\n

              Il est \u00e9vident que nous voulons tous prot\u00e9ger nos comptes, et l\u2019authentification \u00e0 deux facteurs<\/a> semble \u00eatre la m\u00e9thode parfaite. Mais certains probl\u00e8mes apparaissent m\u00eame dans cette situation. Par exemple, le num\u00e9ro de t\u00e9l\u00e9phone que vous fournissez pour autoriser l\u2019authentification \u00e0 deux facteurs sur votre compte Facebook va automatiquement \u00eatre associ\u00e9 \u00e0 votre profil, sans exception. Par cons\u00e9quent, n\u2019importe quelle personne, avec ou sans compte, peut consulter<\/a> votre profil utilisateur en utilisant votre num\u00e9ro de t\u00e9l\u00e9phone. Bonus\u00a0: Facebook peut aussi cibler ce num\u00e9ro<\/a> pour des publicit\u00e9s.<\/p>\n

                \n
              1. Vos contacts ne sont jamais \u00e0 l\u2019abri des annonceurs, et c\u2019est la faute \u00e0 Facebook<\/strong><\/li>\n<\/ol>\n

                Comme nous l\u2019avons bri\u00e8vement mentionn\u00e9 auparavant, Facebook et Instagram autorisaient<\/a> les annonceurs \u00e0 acc\u00e9der aux coordonn\u00e9es des personnes que les utilisateurs n\u2019avaient m\u00eame pas sauvegard\u00e9es sur Facebook ! En d\u2019autres termes, les annonceurs pouvaient (et peuvent s\u00fbrement encore le faire) vous prendre pour cible gr\u00e2ce aux adresses e-mail et num\u00e9ros de t\u00e9l\u00e9phone que vous avez saisi dans la partie \u00ab\u00a0Informations g\u00e9n\u00e9rales et coordonn\u00e9es\u00a0\u00bb, et \u00e0 d\u2019autres donn\u00e9es priv\u00e9es r\u00e9v\u00e9l\u00e9es par Facebook.<\/p>\n

                Ces donn\u00e9es peuvent inclure le num\u00e9ro de t\u00e9l\u00e9phone que vous avez saisi pour la 2FA et les adresses e-mail pour le contenu publicitaire que vous communiquez pour obtenir des r\u00e9ductions ou faire des achats en ligne. Si un de vos contacts d\u00e9cide de partager (\u00ab\u00a0synchroniser\u00a0\u00bb) ses<\/em> contacts avec Facebook, ou de t\u00e9l\u00e9charger son r\u00e9pertoire sur Facebook pour \u00ab\u00a0trouver des amis\u00a0\u00bb, et que sa liste de contacts inclut un de vos num\u00e9ros de t\u00e9l\u00e9phone, m\u00eame si vous n\u2019avez jamais saisi ces informations sur Facebook, alors les annonceurs peuvent vous envoyer des publicit\u00e9s gr\u00e2ce \u00e0 ce num\u00e9ro de t\u00e9l\u00e9phone.<\/p>\n

                  \n
                1. Facebook partage les donn\u00e9es avec les annonceurs<\/strong>.<\/li>\n<\/ol>\n

                  Les documents internes filtr\u00e9s ont d\u00e9montr\u00e9 que Facebook utilisait les donn\u00e9es<\/a> priv\u00e9es des utilisateurs pour favoriser les entreprises associ\u00e9es. Par exemple, Amazon.com d\u00e9pensaient des sommes colossales dans les publicit\u00e9s sur Facebook et pouvaient ainsi obtenir<\/a> les noms et adresse e-mail des utilisateurs gr\u00e2ce \u00e0 leurs amis, tout comme l\u2019ont fait Sony, Microsoft, et bien d\u2019autres entreprises.<\/p>\n

                  Le moteur de recherche Bing de Microsoft a pu voir les noms de tous vos amis virtuels sur Facebook sans votre (ou leur) consentement. Netflix, Spotify, et la Royal Bank of Canada ont obtenu certains privil\u00e8ges permettant de lire, \u00e9crire et effacer vos messages priv\u00e9s, et de voir tous les participants d\u2019une discussion. Les appareils Apple avaient acc\u00e8s aux num\u00e9ros de t\u00e9l\u00e9phone du r\u00e9pertoire et au calendrier des personnes qui avaient pourtant modifi\u00e9 les param\u00e8tres de leur compte pour d\u00e9sactiver le partage.<\/p>\n

                  Les entreprises impliqu\u00e9es ont indiqu\u00e9 n\u2019avoir jamais fait une mauvaise utilisation des donn\u00e9es auxquelles elles ont eu acc\u00e8s, et certaines ont m\u00eame d\u00e9clar\u00e9 qu\u2019elles ne savaient pas qu\u2019elles profitaient de ces droits \u00ab\u00a0\u00e9tendus\u00a0\u00bb.<\/strong><\/p>\n

                  \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a09. Facebook Marketplace a r\u00e9v\u00e9l\u00e9 l\u2019emplacement exact des vendeurs<\/h4>\n

                  Une faille de s\u00e9curit\u00e9 (d\u00e9sormais corrig\u00e9e<\/a>) de la marketplace num\u00e9rique de Facebook a r\u00e9v\u00e9l\u00e9 l\u2019emplacement exact des vendeurs (coordonn\u00e9es latitudinales et longitudinales) et, par extension, de leurs biens. Il n\u2019\u00e9tait pas n\u00e9cessaire de se connecter \u00e0 Facebook pour savoir o\u00f9 ils se trouvaient, et c\u2019est pourquoi certains chercheurs d\u00e9signaient le service comme la \u00ab\u00a0liste des courses pour les voleurs\u00a0\u00bb. Cette situation \u00e9tait particuli\u00e8rement inqui\u00e9tante pour les personnes qui vendaient des v\u00e9los assez chers, puisqu\u2019ils sont un app\u00e2t int\u00e9ressant pour les cybercriminels, et Marketplace leur offrait tout simplement ces v\u00e9los en r\u00e9v\u00e9lant l\u2019emplacement des vendeurs.<\/p>\n

                    \n
                  1. Donn\u00e9es Facebook r\u00e9v\u00e9l\u00e9es par un tiers<\/strong><\/li>\n<\/ol>\n

                    Des bases de donn\u00e9es contenant les informations relatives aux utilisateurs Facebook ont \u00e9t\u00e9 trouv\u00e9es<\/a> sur le site ouvert. Les informations apparaissaient en texte brut, ce qui permettait \u00e0 n\u2019importe qui d\u2019y avoir acc\u00e8s et de les t\u00e9l\u00e9charger. Un ensemble de donn\u00e9es venait de l\u2019application d\u2019un jeu Facebook \u00ab\u00a0At the Pool\u00a0\u00bb qui n\u2019est plus utilis\u00e9 depuis un certain temps. La seconde base de donn\u00e9es contenait plus de 540 millions d\u2019enregistrements, et appartenait \u00e0 Cultura Colectiva, un \u00e9diteur de m\u00e9dias num\u00e9riques bas\u00e9 au Mexique qui op\u00e8re dans toute l\u2019Am\u00e9rique latine. Les deux bases de donn\u00e9es<\/a> ont r\u00e9v\u00e9l\u00e9 les noms et adresses e-mail des utilisateurs, leur liste d\u2019amis, les \u00ab\u00a0j\u2019aime\u00a0\u00bb, les commentaires, et tous les d\u00e9tails qui peuvent \u00eatre utilis\u00e9s pour analyser les pr\u00e9f\u00e9rences et les int\u00e9r\u00eats de chacun.<\/p>\n

                    M\u00eame si les informations n\u2019\u00e9taient pas particuli\u00e8rement sensibles, et que le personnel de Facebook n\u2019avait rien \u00e0 voir avec ces divulgations, ces cas soul\u00e8vent \u00e0 nouveau certaines questions sur comment Facebook partagent les donn\u00e9s utilisateur avec les tiers<\/strong><\/span>, et nous rappellent le scandale Cambridge Analytica qui est \u00e0 l\u2019origine de ce texte.<\/p>\n\n

                    Si apr\u00e8s avoir lu cet article vous sentez que vous en avez marre des manigances de Facebook, alors vous pouvez trouver toutes les instructions \u00e0 suivre pour supprimer votre compte Facebook<\/a> sur notre blog. Cette d\u00e9cision vous appartient.<\/p>\n","protected":false},"excerpt":{"rendered":"

                    10 erreurs commises par Facebook qui menacent la s\u00e9curit\u00e9 et la vie priv\u00e9e des utilisateurs.<\/p>\n","protected":false},"author":2508,"featured_media":11761,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1868],"tags":[180,704,14,227],"class_list":{"0":"post-11760","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-privacy","8":"tag-confidentialite","9":"tag-erreurs","10":"tag-facebook","11":"tag-vie-privee"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/facebook-10-fails\/11760\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/facebook-10-fails\/15797\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/facebook-10-fails\/13325\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/facebook-10-fails\/17708\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/facebook-10-fails\/15853\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/facebook-10-fails\/14599\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/facebook-10-fails\/18475\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/facebook-10-fails\/17352\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/facebook-10-fails\/6058\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/facebook-10-fails\/26980\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/facebook-10-fails\/11856\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/facebook-10-fails\/10767\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/facebook-10-fails\/19284\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/facebook-10-fails\/23269\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/facebook-10-fails\/22633\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/facebook-10-fails\/22583\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/facebook\/","name":"facebook"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11760","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2508"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=11760"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11760\/revisions"}],"predecessor-version":[{"id":12665,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11760\/revisions\/12665"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/11761"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=11760"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=11760"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=11760"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}