Double authentification : Facebook admet une anomalie dans les SMS de sécurité
Afin de mieux sécuriser le compte et limiter les risques de piratage, Facebook offre à ses membres la possibilité d'utiliser la double authentification.
Accessible dans les paramètres, à la section « Sécurité et connexion », l'option, que le réseau social nomme « authentification à deux facteurs », requiert de lier un terminal, un smartphone en général, en donnant son numéro de téléphone ou en scannant un code QR pour utiliser une application dédiée à la double authentification. Or, ce choix a des incidences sur le fonctionnement de cette protection.
Si vous donnez votre numéro de téléphone, Facebook vous enverra par SMS un code temporaire à taper dans le champ adéquat. Celui-ci est envoyé une fois que vous avez passé la première étape, à savoir donner le bon mot de passe. Naturellement, tout ceci nécessite une connexion au réseau mobile, sinon pas de SMS. Mais si vous optez pour le code QR, l'outil peut fonctionner même hors ligne.
Tout ceci est formidable lorsque ça marche parfaitement bien. Or, une anomalie pour le moins curieuse a été remarquée au cours du mois de février par des utilisateurs. Quand la première méthode, celle de l'envoi par SMS, était activée, ce canal n'a pas seulement transmis les codes provisoires : il a aussi relayé des notifications du réseau social, relatives à ce que font les autres membres du site.
https://twitter.com/zeynep/status/963822713902166021
Tout aussi anormale était la possibilité de répondre à ces SMS et de constater que ce qui était écrit était « public », car le texte de la réponse arrivait sur le profil Facebook sous la forme d'un nouveau statut. On peut imaginer les dérapages, avec par exemple un usager peu sensible aux questions de sécurité informatique, qui pourrait croire qu'il faut donner son mot de passe par SMS.
Il n'en fallait pas plus pour qu'une polémique naisse, les uns accusant Facebook de légèreté sur la sécurité parce que deux flux de SMS étaient mélangés alors qu'ils n'ont rien à voir, les autres se demandant si ce n'était pas une façon détournée de stimuler l'engagement des utilisateurs. Or, après une première intervention dans la presse d'un porte-parole pour essayer de calmer le jeu, une réponse plus détaillée est parvenue.
« Nous n'avions pas l'intention d'envoyer des notifications par SMS non liées à la sécurité à ces numéros de téléphone », écrit Alex Stamos, le Monsieur Sécurité chez Facebook. « Nous nous attendons à ce que les correctifs soient en place au cours des prochains jours. Je le répète, il ne s'agissait pas d'une décision intentionnelle, mais d'un bug », ajoute-t-il, dans un message publié samedi 17 février.
Il ne sera donc plus possible de recevoir des notifications non liées à la sécurité du site par ce canal-là, sauf si les personnes « choisissent spécifiquement de les recevoir », indique le responsable de la sécurité du plus vaste réseau social sur Internet. Quant à la possibilité de répondre à ces SMS, ce qui avait pour effet de provoquer la publication des réponses sur Facebook, le site explique que c'est le reliquat d'une vielle option :
« Pendant des années, avant l'omniprésence des smartphones, nous avons géré l'option permettant de publier sur Facebook par SMS, mais cette fonctionnalité est moins utile de nos jours. Par conséquent, nous travaillons à rendre bientôt cette fonctionnalité obsolète », conclut Alex Stamos. Ainsi, même si un membre cherche à répondre imprudemment au SMS, le texte ne sera plus mis en ligne.
