Sécurité et Confidentialité du réseau Facebook
From : le Point , NouvelObs , Maxisciences , ...
Le Wall Street Journal fait trembler Facebook. Le prestigieux quotidien américain a enquêté sur les pratiques du réseau social et de ses partenaires en matière de protection des données personnelles. Le résultat est accablant : même avec les paramètres de confidentialité verrouillés au maximum, les membres ne peuvent empêcher la fuite et la revente de leurs informations à des sociétés publicitaires. En cause : les applications tierces sont de véritables passoires, alors que Facebook plaide la bonne foi. "Le problème affecte des dizaines de millions d'utilisateurs [...], y compris ceux qui ont choisi les paramètres de confidentialité les plus stricts", affirme le journal.
Le système mis en lumière par l'enquête est extrêmement pervers. Ce n'est pas directement Facebook qui diffuse et vend les informations personnelles de ses 500 millions de membres : ce sont les applications tierces. Ces extensions, développées par d'autres sociétés, peuvent être installées gratuitement pour profiter de contenus supplémentaires, tels que des jeux ou des quiz. L'utilisateur autorise alors l'application à accéder à ses données : un clic devenu banal sur le Web, mais qui peut être lourd de conséquences.
Les éditeurs de jeux avancent masqués
Le jeu Farmville, par exemple, a une apparence bien innocente..., mais ses 59 millions d'utilisateurs ont permis à la société éditrice, Zynga, de récupérer des données sur des dizaines de millions de comptes. En fait, dès qu'un utilisateur autorise certaines applications à accéder aux informations de sa page Facebook, il compromet ses "amis". C'est grâce à l'autorisation d'accès de cet utilisateur aux comptes de ses amis que l'application "pille" les données d'autres comptes qui lui seraient normalement fermés. Une pratique interdite par Facebook, mais visiblement peu sanctionnée...
Les données transmises ne se rapportent pas à des noms réels, mais à des "ID" (identifiants) d'utilisateurs. Toutefois, il est facile de traduire automatiquement les identifiants (chiffres) en identités (nom et prénom, avec parfois la date de naissance, les photos, etc.). "L'ensemble des dix applications les plus populaires transmettent des identifiants d'utilisateurs à des entreprises tierces", explique le Wall Street Journal. Il s'agit de Farmville, Phrases (citations), Texas HoldEm Poker, FrontierVille, Causes (promotion de projets, pour ONG notamment), Café World, Mafia Wars, Quiz Planet, Treasure Isle et IHeart.
Un profil privé peut aussi être pillé
Trois d'entre elles, dont Farmville, transmettent aussi des informations sur les "amis" des utilisateurs des applications. Résultat : même les internautes qui prennent le plus de précautions et qui verrouillent au maximum leurs paramètres de confidentialité sont touchés, pour peu qu'ils aient dans leurs "amis" Facebook des amateurs d'applications. Il fallait auparavant choisir avec soin ses options de vie privée, il faut désormais sélectionner ses amis. Et compte tenu de la popularité des applications sur Facebook, c'est mission impossible.
De son côté, Facebook fait la sourde oreille : le réseau social refuse d'être tenu pour responsable des agissements des sociétés tierces, qui proposent plus de 550.000 applications à ses membres. À force de répéter depuis des années que Facebook prend "toutes les mesures nécessaires" pour "limiter drastiquement la fuite des données personnelles", les dirigeants ont quelque peu perdu leur crédibilité. Mais cette fois, l'affaire ne va pas en rester là : aux États-Unis, à la suite de la parution de l'enquête, deux membres de la Chambre des représentants ont exigé dans une lettre que Facebook apporte des réponses avant le 27 octobre.
Des pratiques qui posent une nouvelle fois la question de la protection de la vie privée des 500 millions d'utilisateurs du réseau social (17,2 millions en France) et de sa sécurité.
"Récupérer les données personnelles des utilisateurs"
Une partie de la popularité de Facebook tient aux (très) nombreuses applications. Mais ces applications sont aussi la principale menace en matière de sécurité pour le réseau social.
Un consultant en sécurité informatique de la société Wargan, John Jean, a ainsi découvert "comment récupérer toutes les données personnelles des utilisateurs de Facebook" via des applications. Il explique à Nouvelobs.com avoir découvert "des failles de sécurité" qui permettent d'"injecter du code HTML [afin] de prendre la main sur toutes les données des internautes".
"J'ai inclus ces failles dans une application Facebook. Si un internaute la lance, je peux récupérer toutes ses informations personnelles, ses photos, le contenu de son mur, ses messages personnels, son mot de passe et le modifier...", raconte le consultant, également directeur de production chez Rentabiliweb.
"L'attaque fonctionne comme un virus", poursuit John Jean. "Grâce à l'application, le virus se propage de manière exponentielle en postant un lien sur le mur de l'internaute touché, en envoyant des messages privés à tous ses amis, etc. S'assure ainsi la réplication du ver.
Ces failles illustrent le danger que peuvent représenter les applications Facebook. Un éditeur peu scrupuleux peut ainsi récupérer toutes les données personnelles d'un utilisateur de Facebook, voir "corrompre son ordinateur et déployer des logiciels malveillants", ajoute John Jean. Il précise que si "les applications ne sont pas des failles à proprement parler, elles permettent d'exploiter très facilement des vulnérabilités.
Les Facebook Apps sont des logiciels qui permettent aux 500 millions d’utilisateurs de Facebook de jouer à des jeux ou de partager des intérêts communs avec d’autres utilisateurs. Le Wall Street Journal a découvert que l’ensemble des 10 applications les plus populaires de Facebook auraient transmis les identifiants de leurs utilisateurs à au moins 25 organisations tierces (agences de publicité online et sociétés de tracking des utilisateurs qui permettent d’identifier leurs activités online).
L’une de ces sociétés de tracking online, RapLeaf Inc., a déclaré que cette transmission n’était pas intentionnelle. « Nous ne l’avons pas fait exprès« , explique Joel Jewitt de RapLeaf. Toutefois, le Wall Street Journal a révélé que RapLeaf aurait transmis les identifiants à 12 entreprises tierces, y compris Google.
Facebook dit avoir désactivé des milliers d’applications pour violation de sa politique de confidentialité des données, mais cela reste encore un grand flou. En effet, il est impossible de recenser leur nombre tout autant que le nombre d’identifiants transmis à des tierces sociétés ayant pu les exploiter.
Le problème qui se pose avec les applications Facebook, c'est lorsque la naïveté de l'internaute est exploitée par des personnes malveillantes, notamment avec les URL raccourcies", pointe Laurent Heslault. "Avec 500 millions de comptes, Facebook attise les convoitises des pirates et il y a un jour où forcément quelqu'un arrivera à entrer."
Toutefois, si, pour l'heure, les informations issues de Facebook sont souvent liées à la vie privée, "qu'adviendra-t-il lorsque les identifiants Facebook serviront à se connecter à son compte en banque ?", interroge le responsable chez Symantec. "Le prochain grand chantier concernera l'identification de l'internaute et la notion de validité. Le binôme identifiant/mot de passe est-il suffisant ?", conclut-il.
.