Des chercheurs en cybersécurité ont découvert des fichiers contenant les données personnelles d'utilisateurs de Facebook, non protégées, sur les serveurs d'Amazon.

Des chercheurs de l’entreprise spécialisée dans la cybersécurité UpGuard ont mis la main sur des fichiers non protégés. Ces fichiers contenaient les données personnelles d’utilisateurs de Facebook, récoltées par des entreprises tierces qui y ont eu accès, probablement avant l’affaire Cambridge Analytica. Ces révélations montrent que les vannes ouvertes avec la gestion des API (liens entre Facebook et les services) telle qu’elle était faite il y a quelques années ont toujours des conséquences aujourd’hui.

Des données collectées par des tiers

C’est sur des serveurs d’Amazon que les chercheurs ont trouvé les données personnelles. Les fichiers contiennent des centaines de millions d’informations sur des utilisateurs. On trouve notamment leurs noms, mots de passe (probablement pas ceux de Facebook, mais ceux des applications concernées), commentaires, centres d’intérêt et likes effectués sur la plateforme.

mot de passe facebook
Les données n’étaient pas protégées. // Source : Facebook

Les données n’ont pas fuité à cause de Facebook… du moins pas directement. Ce sont des développeurs d’applications pour le réseau social qui les ont téléchargées sur les serveurs d’Amazon. Ils avaient a priori collectées en toute légalité à l’époque où Facebook était plus laxiste sur ces pratiques, mais leur stockage était supposé être sécurisé.

Ce n’est pas la première fois que de telles révélations sont faites. Depuis plus d’un an maintenant, Facebook doit régulièrement faire face à des affaires de fuites d’informations personnelles, mais toutes ont des natures et des implications différentes. Des applications tierces ont souvent été mises en cause, car elles ont profité d’une boîte de Pandore ouverte par Facebook et fermée depuis… mais dont les utilisateurs du réseau social continuent de payer le prix. Cela a été le cas dans l’affaire Cambridge Analytica par exemple.

Pour rappel, une entreprise d’analyse de données proche de Donald Trump avait aspiré les données de millions de membres de Facebook sans leur consentement. Pour ce faire, elle avait développé une application présentée comme étant académique, que Facebook avait approuvée. Au Royaume-Uni, le réseau social a été jugé en partie responsable et a été condamné à verser une amende de 560 000 euros. Facebook s’y refuse, estimant qu’elle n’a pas à payer.

Comment sécuriser des données déjà récoltées ?

À la suite de ce scandale, le géant avait coupé les accès à certaines données d’utilisateurs pour les développeurs. En juin, ce fut le cas pour l’accès aux listes de contacts. Des centaines d’applications qui récoltaient trop de données ont aussi été bannies.

Les découvertes d’UpGuard montrent que les mauvaises décisions prises autrefois ont encore besoin d’être corrigées. Si Facebook gère peut-être mieux la collecte de données aujourd’hui, il peine visiblement à garder la main sur celles qui ont déjà été collectées. « Le génie des data ne peut pas être remis dans sa bouteille », notent les chercheurs, qui ne précisent pas quand la collecte des données a eu lieu — l’un des services concernés, At The Pool, a arrêté de fonctionner en 2014, soit bien avant Cambridge Analytica.

Données découvertes par UpGuard // Source : UpGuard

D’autres données qu’ils ont trouvées provenaient d’une entreprise mexicaine, Cultura Colectiva. Même si l’entreprise a été alertée en janvier, la base de données qu’ils avaient mise sur les serveurs d’Amazon n’a été sécurisée que début avril, explique UpGuard.

Un porte-parole de Facebook a réagi auprès du média Wired. « Facebook interdit le fait de stocker les données [d’utilisateurs] sur des bases de données publiques », est-il écrit. Le réseau social affirme qu’il a travaillé de concert avec Amazon dès qu’il a été mis au courant, afin que les fichiers soient protégés. « Nous sommes engagés à travailler avec les développeurs sur notre plateforme pour protéger les données des personnes », rappelle Facebook.

Partager sur les réseaux sociaux