Vous pensiez que la double-authentification était une bonne chose pour votre vie privée ? C’est vrai… mais visiblement pas sur Twitter. Dans un communiqué repéré par TechRadar ce 9 octobre, la firme explique qu’elle a donné l’accès aux numéros de téléphone et mails renseignés par les utilisateurs à des annonceurs.
Des numéros de téléphone à des fins publicitaires
Twitter dit avoir « récemment découvert » une faille dans la manière dont il protégeait des données. Cela concerne entre autres les adresses mail et numéros de téléphone des personnes qui ont activité la double-authentification.
La double-authentification est un procédé qui permet de sécuriser un peu mieux la connexion à un service. Vous entrez d’abord votre mot de passe classique, puis Twitter vous envoie un SMS avec un code unique. Vous devez l’entrer pour pouvoir accéder à votre compte. Cela rend plus difficile le piratage. Cette option est disponible sur Twitter depuis 2017.
Les personnes qui ont dû donner leur numéro de téléphone pour vérifier qu’elles détenaient bien un compte seraient aussi touchées. Le réseau social peut exiger ce type d’informations s’il a des doutes sur un compte. Pour vérifier qu’il n’est pas tenu par un bot, il peut demander à l’utilisateur de fournir son email ou numéro de téléphone.
« Ces données ont pu être utilisées par inadvertance à des fins publicitaires », reconnaît Twitter. Elles auraient été utilisées dans le cadre de la création d’audiences ciblées, ainsi que pour le programme publicitaire des partenaires.
Des données sensibles partagées
Twitter a fourni aux annonceurs des listes de données marketing, qui contenaient entre autres des adresses mails et numéros de téléphones. Le programme publicitaire a quant à lui permis à des tiers de faire correspondre des données entre elles. Ils importent des données sur Twitter. Ils peuvent ensuite les comparer de manière automatisée aux données que fournit Twitter. S’il y a des mails ou numéros de téléphones similaires, l’annonceur peut en déduire qu’il s’agit d’une seule et même personne.
La plateforme écrit : « Nous sommes vraiment désolés que ça se soit passé, et nous prenons des mesures pour s’assurer de ne pas reproduire une telle erreur. » Elle précise ne « pas savoir combien de personnes sont touchées exactement ». « Dans un effort de transparence, ajoute-t-elle, nous voulons que tout le monde soit au courant ».
Twitter précise qu’aucune donnée personnelle n’a été partagée en externe avec des tiers. Elles étaient utilisées dans le cadre de programmes sur la plateforme. L’entreprise a cessé cette activité le 17 septembre.
- Lire aussi : J’ai voulu savoir qui avait vendu mes données personnelles et je suis tombée dans un puits sans fond
Ceci pose de sérieux problèmes de respect de la vie privée, mais aussi potentiellement de sécurité. Sur Twitter, beaucoup d’utilisateurs sont anonymes ou écrivent sous pseudonymes. Récemment, nous vous parlions par exemple de travailleuses du sexe qui trouvaient des clients grâce au réseau social. Plusieurs d’entre elles avaient vu leurs comptes subitement bannis. Pour reprendre la main dessus, elles avaient dû donner leur numéro de téléphone. Certaines s’inquiétaient déjà d’une fuite de ces numéros, qui permettrait de connaître leur véritable identité.
Pour le moment, seuls les annonceurs ont pu faire de tels recoupements, afin de mieux cibler leurs publicités. Ce qui n’est pas tout à fait rassurant. L’exemple de Facebook a montré combien les tiers sont parfois peu scrupuleux concernant la collecte ou l’utilisation de données personnelles.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
