au sommaire
Pour Symantec, la découverte du stratagème qui consiste à pirater le numéro de téléphone du possesseur d’un smartphone Android ayant seulement lancé l’application Facebook, est un bon coup de pub pour promouvoir la suite de sécurité pour ce système d’exploitation. C’est en cherchant à identifier les failles des applications Android qu’il a découvert cette pratique douteuse. Jusqu’à maintenant, Symantec a déjà analysé quatre millions d’applications Android, et en scanne une dizaine de milliers supplémentaires chaque jour. © Symantec
Dès qu'une faille concernant la protection des données personnelles est pointée chez Facebook, le réseau social fournit toujours une explication rassurante. C'était déjà le cas la semaine dernière, lorsque l'éditeur de solutions de sécurité Symantec a découvert que six millions d'adresses mail et numéros de téléphone d'utilisateurs de FacebookFacebook ont été partagés accidentellement en raison d'un bug.
Voilà que le scénario se reproduit, et c'est encore Symantec qui a levé le lièvre. En testant son nouveau module de sécurité Norton Mobile InsightInsight inclus dans la suite Norton Mobile Security pour smartphones Android, l'éditeur a découvert que lorsqu'un utilisateur ouvre l'application mobile de Facebook pour la première fois, son numéro de téléphone est immédiatement transféré sur les serveurs du réseau social. Le pire, c'est qu'il n'y a même pas besoin de s'identifier, ni de posséder un compte Facebook pour que ce piratage ait lieu : le seul lancement de l'applicationapplication suffit. Étant donné qu'elle est présente sur pratiquement tous les smartphones Android, le numéro de mobile de la grande majorité des utilisateurs (possédant un compte Facebook ou non) a été transféré par les serveurs de l'éditeur.
Il suffit de presser pour la première fois l’icône bleue dotée du logo Facebook pour que le numéro de téléphone de l’utilisateur soit immédiatement aspiré par les serveurs du réseau social. Pas besoin de se connecter ni même de disposer d’un compte Facebook. Le réseau social affirme avoir corrigé le souci dans le cadre d’une mise à jour de son application pour Android. © Antoine Decourt/Futura-Sciences
De son côté Facebook, à qui Futura-Sciences a demandé des explications, affirme avoir « corrigé ce bugbug dans la nouvelle version de l'application, qui est disponible depuis hier (mardi) en version bêta ». Le service presse nous a également informé que le réseau social « n'a pas utilisé les numéros en question, de quelque façon que ce soit, et a supprimé toutes ces informations des serveurs ».
La protection de la vie privée façon Facebook
La propension qu'ont les réseaux sociaux à vouloir récupérer le maximum de données personnelles de leurs utilisateurs afin de monétiser leurs profils n'est pas une nouveauté. Toutefois, dès lors qu'ils cherchent à collecter les numéros de téléphone de personnes qui n'utilisent pas (ou pas encore) leurs services, l'affaire prend une tournure plus inquiétante. Interrogé sur ce sujet Facebook est resté silencieux. Reste donc à savoir quel était le but originel de la manœuvre.
De manière générale les réseaux sociauxréseaux sociaux sont souvent attaqués sur leurs méthodes de récupération des données personnelles de leurs utilisateurs. Très sensible à la problématique de la protection des données privées, l'UFC-Que Choisir a d'ailleurs mis en demeure Facebook, TwitterTwitter et GoogleGoogle, pour qu'ils révisent leurs conditions générales d'utilisation. L'association de consommateurs considère qu'il est tout bonnement impossible de savoir quelles sont les informations collectées.
Il faut dire que les conditions générales de Facebook ne sont disponibles qu'en ligne et sont concentrées sur 21 pages, rédigées avec la police de caractère Tahoma en taille 6,5, ce qui les rend forcément difficiles à lire. C'est pourquoi l'association a donné 21 jours aux trois éditeurs pour qu'ils les rendent conformes à la législation française, sous peine d'entamer une action en justice.