Un chercheur pointe du doigt une nouvelle faille dans la sécurité de Facebook, compromettant une nouvelle fois les données des utilisateurs du réseau social.
Facebook enchaine décidément les déconvenues. Le réseau social a déjà laissé s’échapper plus de 500 millions de numéros de téléphone au début du mois d’avril, une faille que la firme connaissait pourtant. Elle pourrait désormais faire face à une seconde fuite massive concernant les adresses email de ses usagers. Email Search v1.0 est un outil qui permet de retrouver les connexions entre des comptes Facebook et les adresses email liées, même lorsque le paramètre est réglé en privé par l’utilisateur.
Autrement dit, il serait possible de créer une base de données d’utilisateurs Facebook à partir de leurs adresses email et ainsi potentiellement faire une connexion entre une adresse et une identité.
5 millions d’adresses email par jour
D’après le chercheur qui en fait la démonstration à travers une vidéo circulant sur le web, cet outil peut gérer jusqu’à 5 millions d’adresses email par jour. Facebook aurait déjà été contacté concernant cette fuite, mais n’aurait pas donné suite, laissant entendre qu’elle « n’était pas assez importante pour être corrigée ». Le site ArsTechnica a pu obtenir une copie de la vidéo et retranscrire les propos du chercheur, à condition de ne pas en dévoiler l’identité ou de republier la vidéo en question.
Depuis, Facebook est revenu sur ses propos pour indiquer une erreur, le rapport aurait été fermé prématurément plutôt que d’être envoyé à l’équipe appropriée. La firme aurait depuis corrigé ce qu’elle pense être l’origine de la faille montrée dans la vidéo. Le logiciel en question aurait toutefois circulé sur Internet pendant ce temps, laissant imaginer la création de plusieurs bases de données d’utilisateurs Facebook.
Le chercheur indique également dans cette vidéo qu’avec toutes ces données en poche, il serait possible de faire le lien avec les précédentes fuites massives ayant touché Facebook pour connecter un compte avec son adresse email et son numéro de téléphone portable.
Quand Facebook veut minimiser ses responsabilités
Cette fuite potentielle survient alors que Facebook doit faire face à un autre problème. Le site belge Datanews a mis la main sur un mail de communication interne de Facebook dans lequel la firme décrit sa stratégie pour minimiser ses problèmes. Daté du 8 avril, le courrier électronique concerne la région EMEA (Europe, Moyen-Orient et Afrique) et propose comme stratégie sur le long terme de faire du problème de Facebook un problème à l’échelle de l’industrie, indiquant que la fuite du début du mois ne sera pas la dernière pour Facebook.
À long terme, nous nous attendons à un plus grand nombre d’incidents de scraping et il est important d’en faire un problème sectoriel et de normaliser le fait que cela se produit régulièrement. Pour ce faire, l’équipe propose un point de suivi dans les semaines à venir qui parle plus largement de notre travail anti-scraping et fournit plus de transparence autour du travail que nous faisons ici. Cela peut refléter une grande partie des activités de scraping, nous espérons que cela aidera à normaliser le fait que c’est un problème en cours et à éviter la critique selon laquelle nous ne sommes pas transparents sur des incidents spécifiques.
