featuredImage

Facebook : la nouvelle faille qui menace (un peu plus) votre vie privée

Une nouvelle faille découverte sur Facebook permet de récupérer les informations des utilisateurs ayant lié leur numéro de téléphone à leur profil.

o-WARRANT-CELL-PHONE-facebook

Au fil des années, ça deviendrait presque un marronnier : encore une fois, si vous tenez un tant soit peu à la notion de vie privée (une croyance de moins en moins répandue dans un monde où, soi-disant, personne n'a "rien à cacher"), il serait bon d'aller farfouiller dans les paramètres de confidentialité de votre compte Facebook, plus spécifiquement dans l'option "Qui peut me trouver avec une recherche ?".

Si vous n'avez pas fourni à votre réseau social favori votre numéro de téléphone portable – bravo, vous avez tout compris –, vous pouvez retourner à vos activités l'esprit tranquille. Dans le cas inverse, vous remarquerez que l'option permettant à tout un chacun de trouver votre profil à l'aide de votre numéro est justement paramétrée par défaut sur "tout le monde". Et c'est de là que part cette nouvelle faille de sécurité.

Stalking et revente de données personnelles

Découverte en avril dernier par un ingénieur informatique anglais nommé Reza Moaiandin, la faille permet à toute personne ayant accès à un algorithme de création aléatoire de numéros de téléphone et à l'interface de programmation (API) de Facebook (utilisé par les développeurs d'applications, notamment mobiles, et par conséquent très simple d'accès), de récupérer des informations personnelles telles que le nom, l'adresse ou les photos des utilisateurs. Des données qui peuvent ensuite être revendues au marché noir et faciliter le harcèlement anonyme ou le vol d'identité (aujourd'hui, une "identité" vaut environ 5$ sur le marché noir, selon une enquête du magazine TIME datée de 2013)

Le plus effrayant dans cette opération reste sa facilité d'exécution : le pirate, armé de son simple algorithme, génère des milliers de numéros de téléphone aléatoires par minute, un pays à la fois, et les envoie dans l'API de Facebook. À chaque fois qu'une correspondance entre un numéro et un profil est trouvée, Facebook l'indique au hacker, qui n'a plus qu'à récolter les informations.

Le sniffing

Pour l'ingénieur britannique, qui indique avoir récolté des milliers de coordonnées d'utilisateurs aux États-Unis, au Canada et au Royaume-Uni, cette faille équivaut à "rentrer dans une banque, demander les informations personnelles de quelques milliers de clients en se basant sur leurs numéros de compte, et de se voir répondre " voici leurs fichiers clients"."

À l'inverse d'une fiche client, une partie des données visée est déjà publique, rétorqueront certains avec raison. Certes, mais d'une, le niveau de confidentialité par défaut choisi par Facebook pour protéger l'accès à ces informations étant nul, il serait risqué d'affirmer que tous les utilisateurs affichant publiquement leurs coordonnées le font en leur âme et conscience ; de deux, le numéro de téléphone d'un utilisateur n'est pas censé permettre à quiconque (et encore moins à n'importe qui) de récupérer ces données, surtout lorsque ce numéro est généré aléatoirement.

Si la pratique, baptisée sniffing, n'est pas illégale car elle ne constitue pas une intrusion, elle peut néanmoins faciliter le harcèlement, surtout dans le cas de célébrités. Et visiblement, c'est un risque que Facebook est prêt à prendre.

"La vie privée de nos utilisateurs est extrêmement importante"

Car Reza Moaiandin, après avoir découvert et testé cette faille, s'est empressé de la signaler a l'entreprise californienne via leur plateforme dédiée. Comme le narre ensuite l'ingénieur sur sa page, son contact chez Facebook s'est révélé incapable de reproduire cette faille. Après une seconde alerte, fin juillet, Facebook a gentiment rétorqué à l'ingénieur que cette faille n'était "pas considérée comme une vulnérabilité", l'interface de développement du réseau social étant strictement contrôlée par ses employés.

Contacté par le Guardian, un porte-parole de Facebook a ensuite déclaré que "la vie privée de [leurs] utilisateurs est extrêmement importante". "Ceux qui utilisent Facebook contrôlent les informations qu'ils partagent", a ajouté le porte-parole, "ce qui inclut les informations du profil et leur visibilité." Le message est clair : si vous ne le faites pas vous-même, ne comptez pas sur Facebook pour protéger vos informations.

Par Thibault Prévost, publié le 11/08/2015

Copié