Facebook bat sa coulpe auprès de 6 millions d’utilisateurs dont les données personnelles ont été exposées par une faille de sécurité restée exploitable pendant une durée indéterminée.
Sur chacun des profils affectés (0,6% des comptes, sur la base d’un milliard d’inscrits), numéro(s) de téléphone et/ou adresse(s) mail étaient, jusqu’à résorption de la brèche, potentiellement accessibles à n’importe quel membre du réseau social.
Repérée dans le cadre du programme White Hat, mené avec le concours de chercheurs en sécurité informatique, cette vulnérabilité touchait la fonction « Télécharger vos informations » (DYI, pour « Download Your Information »).
Les utilisateurs qui récupéraient, via cet outil, une archive de leurs données, pouvaient consulter, en clair, les informations liées à leurs contacts, quand bien même ces derniers en avaient restreint l’accès.
Dans un courriel d’avertissement adressé aux victimes dans la nuit du 21 au 22 juin, Facebook évoque un « bug » et en explique l’origine.
Lorsqu’un membre importe un carnet d’adresses e-mail, celui-ci est automatiquement mis en relation avec les informations de contact d’autres membres du réseau social pour alimenter l’algorithme de recommandation d’amis.
Ce qui permet, selon les équipes de Mark Zuckerberg, de « retrouver plus facilement ses connaissances […] et de ne pas inviter à rejoindre Facebook quelqu’un qui s’y est déjà inscrit« .
Et de relativiser l’ampleur de ce trou de sécurité : « Dans la plupart des cas, une seule personne – que vous connaissez sans forcément être son ami sur notre plate-forme – a eu accès à vos coordonnées« .
Rien ne prouve en outre, à en croire la lettre d’excuses publiée dans la foulée, qu’il y ait eu une utilisation malveillante de ces mails et numéros de téléphone. Aucune plainte n’aurait tout du moins été déposée en ce sens.
Facebook a déjà été pointé du doigt à de nombreuses reprises pour des manquements en matière de protection de la vie privée des internautes.
Dans ce dossier brûlant, le dernier épisode majeur remonte à septembre 2012, avec la diffusion présumée de messages privés des utilisateurs sur leurs espaces publics (Timeline).
—— A voir aussi ——
Quiz ITespresso.fr : avez-vous entendu parler du nouveau Facebook ?
Face aux menaces ciblant Microsoft 365, une approche de sécurité multicouche, combinant les fonctionnalités natives,…
Deux offres de cybersécurité portées par ITrust et Docaposte intègrent des suites collaboratives. Présentation.
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
