BFM Business

Les données de millions d'utilisateurs Facebook librement accessibles sur le Web

-

- - JOSH EDELSON AFP

Photos, noms d'utilisateurs, groupes, likes, mots de passe... Des chercheurs ont découvert 540 millions de fichiers non protégés et accessibles librement sur des serveurs Amazon, contenant des données personnelles d'utilisateurs Facebook.

Un scandale de plus pour Facebook. Des chercheurs de l’entreprise spécialisée en cybersécurité UpGuard révèlent avoir découvert deux espaces de stockage comprenant les données de millions d’utilisateurs du réseau social. Elles étaient stockées sur des serveurs Amazon - loués par Facebook - et accessibles librement sur internet.

Comment est-ce arrivé?

Deux applications tierces sont en cause. Il s’agit d’entreprises qui utilisent, avec l’accord de Facebook, des données d’utilisateurs Facebook. Cette connexion peut se faire quand un utilisateur accepte de se connecter à un nouveau service avec son compte Facebook. C'est le "Facebook Login". 

La première entreprise serait Cultura Colectiva, une société basée à Mexico qui diffuse des contenus autour de l’art et du lifestyle. Sur les serveurs d’Amazon, les chercheurs ont mis la main sur un dossier de 146 Go comprenant 540 millions de fichiers. Ils comprenaient des commentaires, des likes, des noms et des identifiants de compte d’utilisateurs Facebook. Selon UpGuard, les données récoltées par Cultura Colectiva servaient à entraîner un algorithme capable de prédire la popularité d’un contenu.

Dans un communiqué diffusé sur Twitter le 3 avril, Cultura Colectiva assure que les fichiers "ne comprenaient pas d’informations privées ou confidentielles, telles que des courriels ou des mots de passe." Elle précise que toutes ces données "publiques" ont été obtenues "à partir des pages gérées comme des moyens de communication numériques". 

Les chercheurs d'UpGuard ont également découvert une seconde base de données d’utilisateurs bien moins importante avec 22.000 fichiers, liée à l’application "At the pool". Elle contenait notamment les noms, les photos, les emails ou encore les groupes auxquels appartenaient les utilisateurs. Des mots de passe étaient également stockés sans sécurisation. L’application "At the pool" aurait fermée en 2014, selon UpGuard.

À quoi ont pu servir ces données?

Les données stockées en libre accès sur les serveurs d'Amazon ont pu être utilisées pour alimenter les bases de données d’autres entreprises. Par exemple pour faire de la publicité ciblée sur Facebook. Concernant les mots de passe, la sécurité des comptes Facebook de certains utilisateurs a donc pu être compromise.

Avant les différents scandales, le réseau social était beaucoup plus laxiste. Jusqu’en 2014, Facebook permettait à ses partenaires de récolter les données de ses utilisateurs, ainsi que celles de leurs amis. C’est grâce à cela qu’en 2013, la société Cambridge Analytica a pu glaner des informations sur 270.000 personnes et sur leurs proches. Soit au total, plus de 50 millions de personnes. Depuis, Facebook a interdit la récolte des données des proches par des applications tierces. Le réseau social a également mis fin à ses partenariats avec des agrégateurs de données. 

Mais les informations découvertes par UpGuard "sont juste la dernière preuve en date que quand Facebook partage ses données avec des tiers, l'entreprise n’a absolument aucun contrôle sur ce qu’elles deviennent", analyse Wired, un magazine américain spécialisé dans les nouvelles technologies. De son côté, Facebook assure avoir travaillé avec Amazon pour sécuriser les données de ses utilisateurs dès qu'il a été mis au courant par UpGuard de leur exposition.

https://twitter.com/Pauline_Dum Pauline Dumonteil Journaliste BFM Tech