Nouvelle affaire embarrassante pour Facebook. Des chercheurs en sécurité ont découvert que les données personnelles de plusieurs centaines de millions d’utilisateurs du réseau social étaient librement accessibles sur Internet.
Facebook a promis de mieux respecter la vie privée, mais force est de constater que la firme de Mark Zuckerberg a toujours des problèmes concernant la gestion de données personnelles de ses utilisateurs. Des chercheurs de la société spécialisée dans la cybersécurité UpGuard ont découvert que des données collectées par des entreprises tierces étaient stockées sans protection et librement accessibles sur Internet. Au total, 540 millions d’enregistrements de données d’utilisateurs du réseau social ont été retrouvés sur des serveurs d’Amazon Web Services (AWS).
Contrairement à certaines affaires qui ont touché Facebook, la faute n’incombe pas totalement au réseau social. L’entreprise UpGuard indique que les données étaient stockées sans cryptage par deux sociétés tierces. L’entreprise mexicaine Cultura Colectiva est à l’origine de la fuite la plus importante, sa base de données librement accessible sur un serveur Amazon S3 pèse 146 Go. Elle contient les données personnelles de quelque 540 millions d’utilisateurs de Facebook. Parmi ces données, on retrouve des commentaires, des noms, les réactions ou encore les « j’aime ».
L’application At the Pool – qui n’existe plus depuis plusieurs années – est aussi concernée et si la fuite n’est pas aussi importante, la base de données contient des informations et environ 22 000 mots de passe. Les chercheurs d’UpGuard précise qu’il s’agit probablement des mots de passe pour l’application et non pas des comptes Facebook des utilisateurs. Toutefois, une telle fuite met en danger ceux qui ont réutilisé le même mot de passe sur plusieurs comptes.
Bien que ces informations aient été retirées une fois que Facebook a été contacté, on ne sait pas combien de temps les données ont été mises à la disposition du public ni qui y a eu accès. Pour l’heure, aucun élément ne permet de dire si ces informations ont été utilisées par des personnes malveillantes. À noter que les chercheurs d’UpGuard expliquent avoir notifié Cultura Colectiva de leur découverte dès le 10 janvier 2019. Malgré une relance envoyée le 14 janvier, ils n’ont pas eu de réponse. Après ces révélations, l’entreprise mexicaine a réagi pour expliquer que les fichiers « ne comprenaient pas d’informations privées ou confidentielles, telles que des courriels ou des mots de passe ».
Les fuites de données se multiplient
Les données étant stockées dans le cloud d’Amazon, le géant américain a lui aussi été contacté fin janvier et a rapidement répondu. Ce dernier a expliqué qu’il avait contacté le propriétaire, puis qu’il étudierait d’autres moyens après avoir constaté fin février que les données n’étaient toujours pas sécurisées. Finalement, ce n’est qu’une fois que Facebook a contacté Amazon que l’accès aux fichiers a été coupé, soit le 3 avril. Le réseau social avait été alerté de cette affaire par un journaliste de Bloomberg et les deux géants ont travaillé main dans la main pour régler le problème.
Un an après le scandale Cambridge Analytica, cette affaire met une nouvelle fois Facebook dans l’embarras. L’entreprise de Mark Zuckerberg a toutefois réagi après ce scandale en devenant plus stricte avec ses partenaires. Il y a quelques jours, le réseau social avait reconnu avoir stocké en clair les mots de passe de « centaines de millions d’utilisateurs » pendant des années.