Comme à chaque fin de la semaine et nous prenons connaissance de la faille de la semaine. Le cycle est maintenant rôdé. La semaine dernière, je publiais un article intitulé « Changez rapidement votre mot de passe Facebook« . Apparemment cette semaine ce ne sont pas les mots de passe qui sont en cause. Alors, quelle est cette nouvelle faille de sécurité qui impacte de nouveau Facebook? Déjà la première chose importante, c’est l’ampleur. Les données de 540 millions d’utilisateurs de Facebook étaient librement accessibles sur des espaces de stockage Amazon S3 ouverts à tous. Alors, comment cela a-t-il bien pu arriver? Essayons donc d’y voir un peu plus clair.
Facebook serait-il face à un nouveau scandale similaire à celui de Cambridge Analytica ? Sur le fond, ça y ressemble un peu. Les ressorts de la faille sont similaires. Les données sont sans doute moins sensibles. Et surtout les enjeux sont différents. Pendant longtemps, le géant américain a laissé des entreprises externes accéder aux données de ses utilisateurs. Ce qui est plus problématique c’est qui ne contrôlait pas vraiment à quoi ces partenaires extérieurs avaient accès, ni ce qu’ils en faisaient. Selon un communiqué publié mercredi par la société de sécurité informatique UpGuard, deux applications seraient en cause. Développées par des tiers – Cultura Colectiva et At the pool – elles stockaient les données de 540 millions d’utilisateurs Facebook sur des espaces de stockages Amazon S3 ouverts à tous.
Comment ces données se sont-elles retrouvées là?
C’est le même principe que dans l’affaire Cambridge Analytica. Une application de quiz, d’un éditeur externe avait permis d’aspirer les données des personnes l’utilisant et de leurs amis. Cultura Colectiva et At the pool sont des applications extérieures à Facebook. Elles avaient accès aux données personnelles des utilisateurs du réseau social mais elles utilisaient leurs propres serveurs pour faire fonctionner leur système. Et il se trouve que leurs serveurs n’étaient pas suffisamment sécurisés.
Si vous jouez à un jeu et que vous voulez voir le score de vos melleurs amis, l’application a besoin d’avoir accès à vos données, aux noms de vos amis pour récupérer leurs scores. L’internaute utilise donc une application ou un jeu dans l’univers de Facebook. Cependant, en réalité, il s’agit d’une application réalisée par des éditeurs tiers. L’utilisateur ne se rend pas compte qu’en cliquant, il autorise des données qu’il a confiées à Facebook à aller vers ce fournisseur extérieur. Et il peut s’agir d’une société qui a de mauvaises pratiques (comme Cultura Colective) ou qui a disparu depuis (comme At the pool qui a disparu depuis 2014)… Leur système informatique n’est pas sous le contrôle de Facebook. Il est sous le contrôle de l’éditeur du jeu ou de l’application.
Le cas de Cultura Colectiva
Dans un communiqué publié mercredi 3 avril, Upguard explique avoir découvert une base de données contenant des informations comme les noms, les commentaires, les « j’aime » et les réactions de 540 millions d’utilisateurs de Facebook.
Elles étaient stockées sans protection sur un serveur, par l’entreprise mexicaine Cultura Colectiva. Cette entreprise diffuse sur Internet des contenus « lifestyle ». Elle récoltait ces données, croit savoir UpGuard, pour analyser les réactions des utilisateurs à ses posts Facebook. Son objectif était de prédire quels futurs contenus obtiendraient la meilleure audience.
La cas de At the pool
UpGuard indique par ailleurs avoir découvert une autre base de données, bien moins importante mais également librement accessible. Elle regroupait les données de 22 000 utilisateurs de Facebook. Parmi ces données figuraient des mots de passe (pas ceux de comptes Facebook), leurs listes d’amis, leurs centres d’intérêts, leurs photos ou encore les groupes auxquels ils appartiennent. Ces données ont été stockées par At the Pool, un développeur d’applications américain qui a disparu depuis 2014.
Ce cas illustre bien que lorsque les données sont stockées dans le cloud, elles ne disparaissent pas lorsque l’entreprise disparaît. Elles constituent donc toujours un risque pour leurs propriétaires.
Quel contrôle exerce Facebook sur les données?
En d’autres termes, il ne s’agit pas à proprement parler d’une «faille de Facebook». En effet, personne n’a pénétré dans Facebook. Mais c’est «une faille des données Facebook». Elle a été rendue possible par l’énorme portée et l’influence de la plateforme du réseau social.
Mais la question qui se pose quand même c’est quel contrôle Facebook exerce-t-il sur l’utilisation de « ses » données par des éditeurs externes.
La responsabilité des éditeurs d’applications
Les données retrouvées par UpGuard « sont juste la dernière preuve en date que quand Facebook partage ses données avec des tiers, il n’a absolument aucun contrôle sur ce qu’elles deviennent », analyse Wired, magazine spécialisé dans les nouvelles technologies.
Facebook a longtemps permis à d’innombrables applications, créées par des entreprises extérieures, d’accéder aux données de ses utilisateurs et parfois de leurs amis. C’est ce qui est à l’origine du scandale Cambridge Analytica, qui a violemment secoué le réseau social il y a quelques mois. Le Guardian et le New York Times avaient mis en lumière l’existence d’une application de quizz qui avait aspiré les données des personnes l’utilisant et de leurs amis, afin de les transmettre à Cambridge Analytica, une entreprise spécialisée dans l’influence politique et proche de Donald Trump. Les données de 87 millions de personnes avaient alors été communiquées.
Nous sommes aujourd’hui dans quelque chose d’assez similaire. Quand on fait une analyse d’impact de la violation de données actuelle sur la vie privée, on n’est pas sur des données sensibles (opinions politiques, orientations sexuelles…). On est d’avantage sur des données standards en termes de respect de la vie privée. En somme, plus de personnes ont été touchées mais les données concernées sont moins sensibles. C’est donc moins grave que si c’était pire. En tout cas, une fois encore, ce n’est guère rassurant.
Conclusion
Il est vraiment regrettable de voir que le géant du web n’a pas clairement tiré les leçons de ses erreurs du passé. Cela augure mal de l’avenir. Un scandale de type Cambridge Analytica, voire bien plus grave encore, pourrait bien se reproduire. N’oublions pas qu’il s’agit là de violations de données extrêmement graves aux conséquences souvent énormes.
Vous voulez réagir? N’hésitez pas à poster votre commentaire et à lancer le débat. Vous pouvez également vous abonner à notre blog et recevoir une notification lorsque nous publions un nouvel article.