Le même problème, encore et toujours !
Des données personnelles non sécurisées trouvées dans le Cloud !
Malheureusement pour la plateforme sociale, qui a récemment été impliqué dans de nombreuses histoires “liées à des problèmes de cybersécurité”, il ne s’agit pas cette fois-ci d’anciennes données …
… mais de données utilisateurs acquises via Facebook par des applications tierces.
Cette histoire est similaire à celle de Cambridge Analytica, le tristement célèbre fournisseur d’applications Facebook qui proposait des soi-disant tests psychométriques pour vous convaincre de donner beaucoup de détails sur vos centres d’intérêt, puis utilisait ensuite vos données utilisateurs de manière plutôt inattendue.
Ironiquement, même si ces deux dernières récupérations de données, annoncées hier par l’entreprise de cybersécurité spécialisée dans la recherche de fuites de données, Upguard, ne sont pas aussi effrayantes que celles concernant le scandale Cambridge Analytica, elles sont à certains égards bien pires.
Ces violations ont été possibles par pure négligence, au niveau des bases de données hébergées dans le Cloud et apparemment laissées ouvertes et accessibles à tous.
C’est comme si vous utilisiez vos propres serveurs dans votre propre salle de serveurs, tout en laissant la porte grande ouverte avec un grand panneau indiquant : “Entrée gratuite. Attention, ne soyez pas trop méchant quand même”.
En fait, c’est comme copier des données critiques depuis vos propres serveurs sur toute une série de clés USB non chiffrées en contournant une convention Dark Web pour les distribuer à tout le monde.
Quelles données utilisateurs ont fuité ?
Selon Upguard, les dernières vagues de fuites de données utilisateurs appartenaient à :
- Cultura Colectiva, un collectif de réseaux sociaux latino-américain qui a créé une base de données géante de plus de 500 millions d’entrées, couvrant probablement des millions d’utilisateurs (le site lui-même revendique 45 millions d’abonnés). Les données incluaient apparemment des identifiants Facebook, des likes, des amis et plus encore.
- At the Pool, une application Facebook qui semble avoir disparu en 2014, laissant les données collectées orphelines et exposées. Ces données incluaient apparemment des noms, des adresses électroniques, des identifiants Facebook et des mots de passe (des mots de passe non-Facebook, stockés en clair).
En d’autres termes, même s’il ne s’agit pas d’une “faille Facebook“, car personne n’a pénétré dans Facebook, c’est “une faille des données utilisateurs Facebook“, rendue possible par l’énorme portée et l’influence de la plateforme sociale.
Quelle direction prendre ?
Cela fait presque huit ans que nous avons écrit une lettre ouverte à Facebook :
Nous souhaiterions : une protection de la vie privée par défaut, des développeurs d’applications certifiés, un Https pour tout.
À notre très agréable surprise, Facebook a été l’un des premiers grands opérateurs du cloud à s’être lancé dans le HTTPS, chiffrant et authentifiant son trafic partout et à tout moment.
À l’époque, de nombreuses autres entreprises se plaignaient qu’il serait trop difficile, trop onéreux, trop lent et surtout inutile de tout chiffrer, mais Facebook leur a donné tort.
Mais il ne s’est pas passé grand-chose en ce qui concerne notre deuxième “souhait”, à savoir un plus grand contrôle sur les développeurs d’applications.
La raison pour laquelle il faudrait avoir un contrôle plus stricte sur les développeurs d’applications est qu’ils occupent une position privilégiée dans un royaume riche et tentaculaire.
Les applications Facebook s’intègrent gratuitement dans l’écosystème du réseau social, profitant presque instantanément de l’imprimatur et de la portée de la plus grande plateforme sociale au monde.
Mais liberté est synonyme de responsabilité, que ce soit au niveau de l’obligation de ne pas mener des actions sournoises avec des données partagées en toute transparence, ou simplement de ne pas laisser les données collectées traîner dans des conditions de sécurité incertaines.
Espérons que le récent bulletin publié par Zuck, au niveau de toute l’entreprise, concernant la nécessité de prendre davantage au sérieux la protection de la vie privée donnera des résultats. Nous espérons voir moins d’applications, mais de meilleure qualité, provenant de développeurs plus fiables.
Facebook a révolutionné la cybersécurité en réinventant la sécurité de ses transactions et en adoptant rapidement le protocole HTTPS partout et systématiquement …
… Espérons donc que la plateforme pourra à nouveau se transformer et contrôler également les applications malveillantes.
Quoi faire ?
- Passez en revue vos applications Facebook et leurs autorisations dès maintenant. Accédez à la page
https://www.facebook.com/settings, choisissezApps et sites Webdans le menu de gauche et parcourez la liste des applications et des sites web, le cas échéant, pour afficher et mettre à jour les informations qu’ils/elles peuvent demander ou pour supprimer les applications et les sites Web dont vous ne voulez plus. - Passez en revue vos paramètres de confidentialité régulièrement. Utilisez la rubrique
Confidentialitéau niveau des Paramètres pour accéder à la pageParamètres et outils de confidentialité. - Activez le 2FA si vous ne l’avez pas déjà fait, tout simplement parce que cette option est disponible. Utilisez la page
Sécurité et connexionpour le configurer. Vous pouvez donner votre numéro de téléphone mobile pour les codes de connexion SMS, utiliser une application d’authentification ou configurer un jeton de connexion comme un Yubikey, le cas échéant.
Tant que nous somme dans notre phase “conseils et astuces”, voici quelques réflexions générales à l’intention des nombreux créateurs et utilisateurs d’applications :
- Si vous êtes un développeur d’applications, qu’il s’agisse d’applications Facebook, Google Play ou de logiciels pour toute autre plateforme, cessez de considérer la sécurité comme un coût à minimiser. Faites-en plutôt un aspect à mettre en avant pour renforcer votre propre fiabilité.
- Si vous êtes un utilisateur d’applications, apprenez à être sélectif. Choisissez des applications provenant d’entreprises dignes de confiance, pas juste de celles qui prétendent l’être. Évitez les applications qui sont juste amusantes ou cool. Privilégiez la qualité à la quantité.
- Si vous êtes un diffuseur d’applications comme Facebook, quelle que soit l’ampleur de vos activités, rappelez-vous notre plaidoyer d’avril 2011 : “Nous aimerions: des développeurs d’applications certifiés”. Les procédures d’inscription rapides pour les développeurs peuvent être justes et pratiques, mais elles semblent souvent être synonymes de problèmes futurs.
Following the news that yet more crummy Facebook app providers have leaked millions of users’ personal data – why not review the FB apps you’ve got (including the ones you forgot about)?https://t.co/EhL73aeQz6 pic.twitter.com/SWZRfDjPR9
— Naked Security (@NakedSecurity) 4 avril 2019
Billet inspiré de Facebook apps expose millions of users’ Facebook data, sur Sophos nakedsecurity.