{"id":9343,"date":"2019-04-06T10:01:29","date_gmt":"2019-04-06T08:01:29","guid":{"rendered":"http:\/\/www.ab-consulting.fr\/blog?p=9343"},"modified":"2019-04-08T07:52:13","modified_gmt":"2019-04-08T05:52:13","slug":"facebook-chaque-semaine-une-nouvelle-faille","status":"publish","type":"post","link":"http:\/\/www.ab-consulting.fr\/blog\/securite\/facebook-chaque-semaine-une-nouvelle-faille","title":{"rendered":"Facebook : chaque semaine une nouvelle faille"},"content":{"rendered":"

Comme \u00e0 chaque fin de la semaine et nous prenons connaissance de la faille de la semaine. Le cycle est maintenant r\u00f4d\u00e9. La semaine derni\u00e8re, je publiais un article intitul\u00e9 \u00ab\u00a0<\/i>Changez rapidement votre mot de passe Facebook<\/a>\u00ab\u00a0. Apparemment cette semaine ce ne sont pas les mots de passe qui sont en cause. Alors, quelle est cette nouvelle faille de s\u00e9curit\u00e9 qui impacte de nouveau Facebook? D\u00e9j\u00e0 la premi\u00e8re chose importante, c’est l’ampleur. Les donn\u00e9es de 540 millions d\u2019utilisateurs de Facebook \u00e9taient librement accessibles sur des espaces de stockage Amazon S3 ouverts \u00e0 tous. Alors, c<\/i>omment cela a-t-il bien pu arriver? Essayons donc d’y voir un peu plus clair.<\/em><\/p>\n\n\n

\"Facebook
Cr\u00e9dit : rawpixel.com \u00a9 2019<\/figcaption><\/figure>\n\n\n

Facebook serait-il face \u00e0 un nouveau scandale similaire \u00e0 celui de Cambridge Analytica ? Sur le fond, \u00e7a y ressemble un peu. Les ressorts de la faille sont similaires. Les donn\u00e9es sont sans doute moins sensibles. Et surtout les enjeux sont diff\u00e9rents. Pendant longtemps, le g\u00e9ant am\u00e9ricain a laiss\u00e9 des entreprises externes acc\u00e9der aux donn\u00e9es de ses utilisateurs. Ce qui est plus probl\u00e9matique c’est qui ne contr\u00f4lait pas vraiment \u00e0 quoi ces partenaires ext\u00e9rieurs avaient acc\u00e8s, ni ce qu\u2019ils en faisaient. Selon un communiqu\u00e9 publi\u00e9 mercredi par la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 informatique UpGuard<\/a>, deux applications seraient en cause. D\u00e9velopp\u00e9es par des tiers – Cultura Colectiva<\/a> et At the pool<\/a> – elles stockaient les donn\u00e9es de 540 millions d\u2019utilisateurs Facebook sur des espaces de stockages Amazon S3 ouverts \u00e0 tous.<\/p>\n\n\n

Comment ces donn\u00e9es se sont-elles retrouv\u00e9es l\u00e0?<\/h2><\/amp-fit-text>\n\n\n

C’est le m\u00eame principe que dans l\u2019affaire Cambridge Analytica. Une application de quiz, d’un \u00e9diteur externe avait permis d\u2019aspirer les donn\u00e9es des personnes l\u2019utilisant et de leurs amis. Cultura Colectiva et At the pool sont des applications ext\u00e9rieures \u00e0 Facebook. Elles avaient acc\u00e8s aux donn\u00e9es personnelles des utilisateurs du r\u00e9seau social mais elles utilisaient leurs propres serveurs pour faire fonctionner leur syst\u00e8me. Et il se trouve que leurs serveurs n\u2019\u00e9taient pas suffisamment s\u00e9curis\u00e9s.<\/p>\n

Si vous jouez \u00e0 un jeu et que vous voulez voir le score de vos melleurs amis, l\u2019application a besoin d\u2019avoir acc\u00e8s \u00e0 vos donn\u00e9es, aux noms de vos amis pour r\u00e9cup\u00e9rer leurs scores. L\u2019internaute utilise donc une application ou un jeu dans l\u2019univers de Facebook. Cependant, en r\u00e9alit\u00e9, il s\u2019agit d’une application r\u00e9alis\u00e9e par des \u00e9diteurs tiers. L’utilisateur ne se rend pas compte qu\u2019en cliquant, il autorise des donn\u00e9es qu\u2019il a confi\u00e9es \u00e0 Facebook \u00e0 aller vers ce fournisseur ext\u00e9rieur. Et il peut s\u2019agir d\u2019une soci\u00e9t\u00e9 qui a de mauvaises pratiques (comme Cultura Colective) ou qui a disparu depuis (comme At the pool qui a disparu depuis 2014)\u2026 Leur syst\u00e8me informatique n\u2019est pas sous le contr\u00f4le de Facebook. Il est sous le contr\u00f4le de l\u2019\u00e9diteur du jeu ou de l\u2019application.<\/p>\n\n\n

Le cas de Cultura Colectiva<\/h3><\/amp-fit-text>\n\n\n

Dans un communiqu\u00e9<\/a> publi\u00e9 mercredi 3 avril, Upguard explique avoir d\u00e9couvert une base de donn\u00e9es contenant des informations comme les noms, les commentaires, les \u00ab j\u2019aime \u00bb et les r\u00e9actions de 540 millions d\u2019utilisateurs de Facebook.<\/p>\n

Elles \u00e9taient stock\u00e9es sans protection sur un serveur, par l\u2019entreprise mexicaine Cultura Colectiva. Cette entreprise diffuse sur Internet des contenus \u00ab lifestyle \u00bb. Elle r\u00e9coltait ces donn\u00e9es, croit savoir UpGuard, pour analyser les r\u00e9actions des utilisateurs \u00e0 ses posts Facebook. Son objectif \u00e9tait de pr\u00e9dire quels futurs contenus obtiendraient la meilleure audience.<\/p>\n\n\n

La cas de At the pool<\/h3><\/amp-fit-text>\n\n\n

UpGuard indique par ailleurs avoir d\u00e9couvert une autre base de donn\u00e9es, bien moins importante mais \u00e9galement librement accessible. Elle regroupait les donn\u00e9es de 22 000 utilisateurs de Facebook. Parmi ces donn\u00e9es figuraient des mots de passe (pas ceux de comptes Facebook), leurs listes d\u2019amis, leurs centres d\u2019int\u00e9r\u00eats, leurs photos ou encore les groupes auxquels ils appartiennent. Ces donn\u00e9es ont \u00e9t\u00e9 stock\u00e9es par At the Pool, un d\u00e9veloppeur d\u2019applications am\u00e9ricain qui a disparu depuis 2014.<\/p>\n

Ce cas illustre bien que lorsque les donn\u00e9es sont stock\u00e9es dans le cloud, elles ne disparaissent pas lorsque l’entreprise dispara\u00eet. Elles constituent donc toujours un risque pour leurs propri\u00e9taires.<\/p>\n\n\n

Quel contr\u00f4le exerce Facebook sur les donn\u00e9es?<\/h2>\n\n\n

En d\u2019autres termes, il ne s\u2019agit pas \u00e0 proprement parler d\u2019une \u00abfaille de Facebook\u00bb. En effet, personne n\u2019a p\u00e9n\u00e9tr\u00e9 dans Facebook. Mais c\u2019est \u00abune faille des donn\u00e9es Facebook\u00bb. Elle a \u00e9t\u00e9 rendue possible par l\u2019\u00e9norme port\u00e9e et l’influence de la plateforme du r\u00e9seau social.<\/p>\n

Mais la question qui se pose quand m\u00eame c’est quel contr\u00f4le Facebook exerce-t-il sur l’utilisation de \u00ab\u00a0ses\u00a0\u00bb donn\u00e9es par des \u00e9diteurs externes.<\/p>\n\n\n

La responsabilit\u00e9 des \u00e9diteurs d’applications<\/h3>\n\n\n

Les donn\u00e9es retrouv\u00e9es par UpGuard\u00a0\u00ab\u00a0sont juste la derni\u00e8re preuve en date que quand Facebook partage ses donn\u00e9es avec des tiers, il n\u2019a absolument aucun contr\u00f4le sur ce qu\u2019elles deviennent\u00a0\u00bb<\/em>,\u00a0analyse Wired<\/em><\/a>, magazine sp\u00e9cialis\u00e9 dans les nouvelles technologies.<\/p>\n

Facebook a longtemps permis \u00e0 d\u2019innombrables applications, cr\u00e9\u00e9es par des entreprises ext\u00e9rieures, d\u2019acc\u00e9der aux donn\u00e9es de ses utilisateurs et parfois de leurs amis. C\u2019est ce qui est \u00e0 l\u2019origine\u00a0du scandale Cambridge Analytica<\/a>, qui a violemment secou\u00e9 le r\u00e9seau social il y a quelques mois.\u00a0Le Guardian<\/em>\u00a0et le\u00a0New York Times<\/em> avaient mis en lumi\u00e8re l\u2019existence d\u2019une application de quizz qui avait aspir\u00e9 les donn\u00e9es des personnes l\u2019utilisant et de leurs amis, afin de les transmettre \u00e0 Cambridge Analytica, une entreprise sp\u00e9cialis\u00e9e dans l\u2019influence politique et proche de Donald Trump. Les donn\u00e9es de 87 millions de personnes avaient alors \u00e9t\u00e9 communiqu\u00e9es.<\/p>\n

Nous sommes aujourd’hui dans quelque chose d’assez similaire. Quand on fait une analyse d\u2019impact de la violation de donn\u00e9es actuelle sur la vie priv\u00e9e, on n\u2019est pas sur des donn\u00e9es sensibles (opinions politiques, orientations sexuelles\u2026). On est d’avantage sur des donn\u00e9es standards en termes de respect de la vie priv\u00e9e. En somme, plus de personnes ont \u00e9t\u00e9 touch\u00e9es mais les donn\u00e9es concern\u00e9es sont moins sensibles. C’est donc moins grave que si c’\u00e9tait pire. En tout cas, une fois encore, ce n’est gu\u00e8re rassurant.<\/p>\n\n\n

Conclusion<\/h2><\/amp-fit-text>\n\n\n

Il est vraiment regrettable de voir que le g\u00e9ant du web n’a pas clairement tir\u00e9 les le\u00e7ons de ses erreurs du pass\u00e9. Cela augure mal de l’avenir. Un scandale de type Cambridge Analytica, voire bien plus grave encore, pourrait bien se reproduire. N’oublions pas qu’il s’agit l\u00e0 de violations de donn\u00e9es extr\u00eamement graves<\/a> aux cons\u00e9quences souvent \u00e9normes.<\/p>\n

Vous voulez r\u00e9agir? N’h\u00e9sitez pas \u00e0 poster votre commentaire et \u00e0 lancer le d\u00e9bat. Vous pouvez \u00e9galement vous abonner \u00e0 notre blog et recevoir une notification lorsque nous publions un nouvel article.<\/em><\/strong><\/p>

Partager\u00a0:<\/h3>