Les problèmes du géant des réseaux sociaux vont en s’empirant, c’est le moins qu’on puisse dire. De la violation des données privées des utilisateurs avec son corolaire de révélations des partages de données utilisateurs avec les entreprises étrangères à la révélation selon laquelle les numéros de téléphone fournis pour plus de sécurité et de confidentialité sur les comptes utilisateur Facebook seraient utilisés par les annonceurs avec le consentement de Facebook, le réseau social n’a aucun répit depuis plus d’un an. Il fait l’objet de plusieurs enquêtes, notamment une nouvelle enquête de la SEC (US Securities and Exchange Commission) sur les déclarations de Facebook concernant Cambridge Analytica.
Comme cela ne suffisait pas, Fight For The Future a rapporté, le vendredi dernier, que Facebook a été surpris en train de bloquer automatiquement les articles d’Associated Press et de Guardian sur la toute dernière et la plus importante violation massive de données utilisateur que le réseau social ait connu.
En effet, dans l’après-midi du mardi 25 septembre, les ingénieurs de Facebook ont découvert un problème de sécurité touchant près de 50 millions de comptes. Un correctif était déjà disponible le jeudi suivant et le vendredi dernier, Facebook a révélé que l’attaque a compromis près de 50 millions de comptes Facebook permettant de prendre le contrôle des utilisateurs. Facebook a rapporté que les attaquants ont exploité une vulnérabilité du code de Facebook ayant affecté la fonctionnalité « View As », qui permet aux utilisateurs de voir à quoi ressemble leur propre profil. Les pirates ont dérobé des jetons d’accès Facebook qui leur ont permis ensuite de prendre le contrôle des comptes utilisateurs. Cependant, le problème a été résolu avec le correctif.
Toutefois, après l’annonce de Facebook, l’étonnement des internautes fut grand le vendredi dernier, lorsque les informations, selon lesquelles Facebook empêcherait la publication des articles de Guardian et d’ d’Associated Press concernant la compromission des 50 millions de comptes Facebook, ont commencé a circulé sur Twitter, selon Fight For Furture.
Après une telle violation massive, les internautes sont habitués à s’attendre à des publications qui expliquent l’événement dans les détails. Mais, ils ont été surpris de constater que toute publication de ces deux articles était empêchée automatique par Facebook avec la mention « Nous avons supprimé ce post car il ressemble à du spam et ne suit pas nos normes de commuty ». Néanmoins, les articles ont pu être partagés sur Twitter par certains utilisateurs.
Un tweet a annoncé ensuite, après plus d’une heure, que le blocage sur Facebook a été résolu en suggérant que « cette histoire s’est répandue tellement de façon virale que le seuil de détection du spam a été dépassé ». Facebook a confirmé la suggestion dans un poste sur son réseau social. Le fait qu’un grand nombre de personnes voulaient partager la même histoire aurait fait que les systèmes de Facebook l’ont signalée comme spam.
Facebook, dont les efforts dans l’amélioration de la protection des données des utilisateurs n’ont pas convaincu jusqu’à présent, est encore impliqué dans une nouvelle violation qui risquent de donner raison aux groupes de défense des libertés civiles et des droits numériques qui demandent depuis longtemps à des sociétés de technologie telles que Facebook de minimiser la quantité de données stockées sur leurs utilisateurs.
Le vendredi dernier, après la publication de la violation, Facebook a apporté ensuite des détails sur la rocambolesque violation de données qui a été découverte en début de cette semaine par les ingénieurs de facebook. Selon Pedro Canahuati, vice-président de l’ingénierie, de la sécurité et de la confidentialité, la vulnérabilité était le résultat de l’interaction de trois bogues distincts :
« Premièrement : « View As » est une fonctionnalité de confidentialité qui permet aux gens de voir à quoi ressemble leur propre profil comme quelqu’un d’autre. « View As » devrait être une interface en lecture seule. Cependant, pour un type de compositeur (la boîte qui vous permet de publier du contenu sur Facebook), en particulier la version qui permet aux gens de souhaiter un joyeux anniversaire à leurs amis, « View As » fournit de manière incorrecte l’opportunité de poster une vidéo.
Deuxièmement : une nouvelle version de notre téléchargeur vidéo (l’interface qui serait présentée à la suite du premier bogue), introduite en juillet 2017, a généré de manière incorrecte un jeton d’accès doté des autorisations de l’application mobile Facebook.
Troisièmement : lorsque le téléchargeur de vidéo est apparu dans le cadre de « View As », il a généré le jeton d’accès non pas pour vous en tant que lecteur, mais pour l’utilisateur que vous recherchiez. »
Selon Fight For The Future, pour éviter pareille violation massive de données utilisateur à l’avenir « les entreprises doivent minimiser la quantité de données qu’elles collectent et être tenues responsables lorsqu’elles mettent des personnes en danger. C’est la seule chose qui les empêchera de collecter autant de données en premier lieu. »
Source : Fight For The Future
