Données personnelles exposées: Facebook est-il coupable ou victime dans cette nouvelle affaire?

SECURITE Les données de 540 millions d’utilisateurs Facebook étaient hébergées sans protection et librement accessibles sur le cloud d’Amazon

L.B.

— 

Facebook et ses failles de sécurité (illustration)
Facebook et ses failles de sécurité (illustration) — ISOPIX/SIPA
  • L’entreprise de sécurité informatique UpGuard a découvert que deux applications stockaient sans protection les données de 540 millions d’utilisateurs Facebook.
  • S’il ne s’agit pas de serveurs appartenant à Facebook, le réseau est tout de même responsable des données personnelles de ses utilisateurs.

Facebook est-il face à un nouveau Cambridge Analytica ? Ça y ressemble un peu. Pendant longtemps, la firme de Mark Zuckerberg a laissé des entreprises tierces accéder aux données de ses usagers sans vraiment contrôler ce à quoi ces partenaires extérieurs avaient accès, ni ce qu’ils en faisaient. Selon un communiqué publié mercredi par l'entreprise de sécurité informatique UpGuard, deux applications développées par des tiers – Cultura Colectiva et At the pool – stockaient les données de 540 millions d’utilisateurs Facebook sur des espaces de stockages Amazon S3 ouverts à tous.

Un nouveau coup dur pour le géant américain, qui a reconnu il y a deux semaines avoir stocké en clair les mots de passe de centaines de millions d'utilisateurs auxquels ses employés avaient accès. 20 Minutes tente de tirer cette histoire au clair avec l’aide Gérôme Billois, expert en cybersécurité du cabinet Wavestone.

Comment ces données personnelles se sont-elles retrouvées là ?

Sur le même principe que dans l’affaire Cambridge Analytica où une application de quiz avait permis d’aspirer les données des personnes l’utilisant et de leurs amis, Cultura Colectiva et At the pool sont des applications extérieures à Facebook. Elles avaient accès aux données personnelles des utilisateurs du réseau social mais elles utilisaient leurs propres serveurs pour faire fonctionner leur système. Et il se trouve que leurs serveurs n’étaient pas suffisamment sécurisés. « Si vous voulez jouer à un jeu et voir le score de vos meilleurs amis, l’application a besoin d’avoir accès à vos données, aux noms de vos amis pour récupérer leurs scores », explique Gérôme Billois. L’internaute utilise une application ou un jeu dans l’univers de Facebook mais, en réalité, il s’agit d’éditeurs tiers. « Il ne se rend pas compte qu’en cliquant, il autorise des données qu’il a confiées à Facebook à aller vers ce fournisseur extérieur », poursuit-il. Il peut s’agir d’une société qui a de mauvaises pratiques ou qui a disparu depuis… Le système informatique n’est pas sous le contrôle de Facebook, mais sous le contrôle de l’éditeur du jeu ou de l’application.

Est-ce la preuve que Facebook n’a aucun contrôle sur ce que deviennent nos données ?

Selon Wired, les données retrouvées par UpGuard montrent bien que quand Facebook partage ses data, « il n’a absolument aucun contrôle sur ce qu’elles deviennent ». « L’attitude de Facebook consiste à dire : “J’ai un contrat avec ces fournisseurs et dans ce contrat, je leur impose des règles”, mais la vraie question est de savoir quel degré de contrôle Facebook devrait avoir, observe Gérôme Billois. C’est un problème courant en sécurité des données : comment responsabiliser mon fournisseur ? » Et Facebook confirme dans une déclaration officielle transmise à 20 Minutes : « Nos politiques interdisent le stockage d’informations Facebook dans une base de données publique. »

Facebook est-il une simple victime dans cette affaire ?

« C’est dur de dire que Facebook est victime car il garde la responsabilité vis-à-vis des données, mais ce n’est pas directement Facebook qui a commis une erreur », relativise le spécialiste en cybersécurité. Le réseau social n’est pas à l’origine du problème. « Ce n’est pas un employé de Facebook qui a fait n’importe quoi, c’est l’employé d’un tiers », poursuit-il. Et Facebook tente de rassurer tout le monde : « Une fois alertés du problème, nous avons collaboré avec Amazon​ pour supprimer les bases de données. Nous nous sommes engagés à travailler avec les développeurs sur notre plateforme pour protéger les données des personnes. »

Facebook est-il face à une nouvelle affaire Cambridge Analytica ?

Dans le scandale Cambridge Analytica, Facebook a reconnu que les données de jusqu'à 87 millions d'utilisateurs avaient été détournées par la société britannique, qui travaillait en 2016 pour la campagne du candidat Trump. Ici, on parle de 540 millions d’utilisateurs. « Que contenaient ces données ? », interroge Gérôme Billois. S’il s’agit bien de données à caractère personnel (commentaires, likes, identifiants, noms des personnes et pour certains, les mots de passe utilisés sur l’application tierce), elles sont moins dangereuses pour la vie privée. « Quand on fait une analyse d’impact sur la vie privée, on n’est pas sur des données sensibles (opinions politiques, orientations sexuelles…), on est sur des données standards en termes de respect de la vie privée », insiste-t-il. En somme, plus de personnes ont été touchées mais les données concernées étaient moins sensibles. Rassurés ?