Qu’est-il arrivé aux numéros de téléphone que les utilisateurs de Facebook ont renseigné au niveau de leur compte pour permettre l’authentification à deux facteurs par SMS (2FA) ?
Si vous pensez que la réponse n’est rien d’autre que l’objectif précisément mentionnée ci-dessus, préparez-vous à une surprise en parcourant une étude réalisée par des chercheurs de Northeastern University et de Princeton University, appuyée par de nombreux commentaires insatisfaits émanant de la communauté de la protection de la vie privée et de la presse spécialisée.
Les chercheurs ont constaté que Facebook a ajouté ces numéros de portable aux autres données qu’il utilise pour ses activités de ciblage publicitaire.
On sait déjà que Facebook permet aux annonceurs d’uploader leurs propres données, y compris les adresses email et les numéros de téléphone, qui correspondent aux mêmes données au niveau des comptes utilisateur. Les chercheurs expliquent que :
Facebook crée alors une audience composée des utilisateurs correspondants et permet à l’annonceur de cibler ce public spécifique.
Cependant, une zone d’ombre persiste, à savoir quelles informations personnelles identifiables, au niveau des différents services, (y compris Instagram et WhatsApp) sont utilisées dans le ciblage publicitaire, car il n’est pas facile de relier directement une donnée spécifique dans un contexte particulier aux annonces diffusées.
L’étude propose une méthodologie fascinante pour en arriver à cette déduction, en découvrant en fait que n’importe quelle donnée ferait l’affaire, y compris les numéros de téléphone ajoutés dans le cadre du 2FA (ou pour recevoir des alertes de sécurité de connexion) mais non utilisés ailleurs.
Un article paru dans Gizmodo, qui a travaillé avec les chercheurs, appelle ces données des “informations de contact fantômes”, faisant peut-être délibérément écho à la controverse récente entourant les profils fantômes de Facebook utilisés pour collecter des données sur les internautes qui ont visité ses différents sites sans avoir de compte.
Facebook n’indique pas clairement qu’il le fait à un quelconque moment, mais il semble l’avoir admis en disant à un autre site d’actualité que si les utilisateurs commençaient à réellement être agacés, ils pouvaient :
Désactivez la réaffectation publicitaire de leurs données de sécurité en cessant d’utiliser le 2FA basé sur un numéro de téléphone.
Il est scandaleux que Facebook demande aux gens de désactiver le 2FA par SMS simplement parce que les utilisateurs n’aiment pas le fait que le réseau social utilise leur numéro pour du ciblage publicitaire.
Facebook utilise la publicité pour gagner de l’argent à partir de son service qui s’avère être gratuit. Il récolte des informations personnelles pour effectuer du ciblage publicitaire et peut-être que quiconque incommodée par une telle approche ne devrait tout simplement pas être sur Facebook !
Toutefois, Facebook devrait limiter l’utilisation des informations fournies pour des raisons de sécurité pour du ciblage publicitaire, s’il ne permet pas aux utilisateurs de spécifier l’utilisation qui en sera faite.
Une alternative
La bonne nouvelle est que, quelle que soit la praticité de l’authentification par SMS, elle n’est pas suffisamment sécurisée de toutes les façons et les utilisateurs de Facebook feraient mieux de migrer vers des alternatives telles qu’une application d’authentification ou même la propre fonction Code Generator de l’application Facebook.
Cette solution contourne non seulement le problème de l’utilisation des numéros de téléphone de manière inappropriée, mais améliore aussi nettement la sécurité. Que demander de plus ?
Billet inspiré de You gave your number to Facebook for security and it used it for ads, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.