Site icon Sophos News

Des millions de données utilisateurs Facebook mises en danger par des applications tierces

donnees utilisateurs

Le même problème, encore et toujours !

Des données personnelles non sécurisées trouvées dans le Cloud !

Malheureusement pour la plateforme sociale, qui a récemment été impliqué dans de nombreuses histoires “liées à des problèmes de cybersécurité”, il ne s’agit pas cette fois-ci d’anciennes données …

… mais de données utilisateurs acquises via Facebook par des applications tierces.

Cette histoire est similaire à celle de Cambridge Analytica, le tristement célèbre fournisseur d’applications Facebook qui proposait des soi-disant tests psychométriques pour vous convaincre de donner beaucoup de détails sur vos centres d’intérêt, puis utilisait ensuite vos données utilisateurs de manière plutôt inattendue.

Ironiquement, même si ces deux dernières récupérations de données, annoncées hier par l’entreprise de cybersécurité spécialisée dans la recherche de fuites de données, Upguard, ne sont pas aussi effrayantes que celles concernant le scandale Cambridge Analytica, elles sont à certains égards bien pires.

Ces violations ont été possibles par pure négligence, au niveau des bases de données hébergées dans le Cloud et apparemment laissées ouvertes et accessibles à tous.

C’est comme si vous utilisiez vos propres serveurs dans votre propre salle de serveurs, tout en laissant la porte grande ouverte avec un grand panneau indiquant : “Entrée gratuite. Attention, ne soyez pas trop méchant quand même”.

En fait, c’est comme copier des données critiques depuis vos propres serveurs sur toute une série de clés USB non chiffrées en contournant une convention Dark Web pour les distribuer à tout le monde.

Quelles données utilisateurs ont fuité ?

Selon Upguard, les dernières vagues de fuites de données utilisateurs appartenaient à :

En d’autres termes, même s’il ne s’agit pas d’une “faille Facebook“, car personne n’a pénétré dans Facebook, c’est “une faille des données utilisateurs Facebook“, rendue possible par l’énorme portée et l’influence de la plateforme sociale.

Quelle direction prendre ?

Cela fait presque huit ans que nous avons écrit une lettre ouverte à Facebook :

Nous souhaiterions : une protection de la vie privée par défaut, des développeurs d’applications certifiés, un Https pour tout.

À notre très agréable surprise, Facebook a été l’un des premiers grands opérateurs du cloud à s’être lancé dans le HTTPS, chiffrant et authentifiant son trafic partout et à tout moment.

À l’époque, de nombreuses autres entreprises se plaignaient qu’il serait trop difficile, trop onéreux, trop lent et surtout inutile de tout chiffrer, mais Facebook leur a donné tort.

Mais il ne s’est pas passé grand-chose en ce qui concerne notre deuxième “souhait”, à savoir un plus grand contrôle sur les développeurs d’applications.

La raison pour laquelle il faudrait avoir un contrôle plus stricte sur les développeurs d’applications est qu’ils occupent une position privilégiée dans un royaume riche et tentaculaire.

Les applications Facebook s’intègrent gratuitement dans l’écosystème du réseau social, profitant presque instantanément de l’imprimatur et de la portée de la plus grande plateforme sociale au monde.

Mais liberté est synonyme de responsabilité, que ce soit au niveau de l’obligation de ne pas mener des actions sournoises avec des données partagées en toute transparence, ou simplement de ne pas laisser les données collectées traîner dans des conditions de sécurité incertaines.

Espérons que le récent bulletin publié par Zuck, au niveau de toute l’entreprise, concernant la nécessité de prendre davantage au sérieux la protection de la vie privée donnera des résultats. Nous espérons voir moins d’applications, mais de meilleure qualité, provenant de développeurs plus fiables.

Facebook a révolutionné la cybersécurité en réinventant la sécurité de ses transactions et en adoptant rapidement le protocole HTTPS partout et systématiquement …

… Espérons donc que la plateforme pourra à nouveau se transformer et contrôler également les applications malveillantes.

Quoi faire ?

Tant que nous somme dans notre phase “conseils et astuces”, voici quelques réflexions générales à l’intention des nombreux créateurs et utilisateurs d’applications :


Billet inspiré de Facebook apps expose millions of users’ Facebook data, sur Sophos nakedsecurity.

Exit mobile version