Six millions d’adresses mail et numéros de téléphone d’utilisateurs de Facebook ont été partagés accidentellement en raison d’un bug. Le réseau social a dû bloquer l’outil de sauvegarde pour corriger ce dysfonctionnement.

au sommaire

    Facebook l'a lui-même annoncé de manière circonstanciée vendredi soir dans un bulletin de sécurité : le réseau social a été victime d'un bug qui a partagé accidentellement les adresses mail, numéros de téléphone et autres données de contact de six millions d'utilisateurs. Le dysfonctionnement a été détecté par des hackers qui cherchent et rapportent (moyennant finances) d'éventuelles failles dans les rouages du réseau social.

    C'est le fonctionnement même de FacebookFacebook, qui cherche sans cesse à augmenter le nombre de ses utilisateurs et à monétiser les profils d'utilisateurs, qui a permis au bugbug de prendre une telle ampleur. Ainsi, lorsqu'un utilisateur souhaite transférer le contenu de son carnet d'adresses sur son compte, Facebook analyse ce qu'il contient afin de croiser ces données avec celles des autres membres du réseau social. C'est ce système qui lui permet de proposer d'ajouter des contacts de façon pertinente. Mais voilà : avec ce bug, lorsqu'un utilisateur cherchait à utiliser l'outil de sauvegarde de son compte Facebook pour en rapatrier les données sur son disque dur, l'ensemble des contacts et les données exploitées pour réaliser les recommandations étaient mélangés et non différenciés.

    « Les amis des amis dans le même panier. » L’outil de sauvegarde des comptes de Facebook rencontrait un bug qui mixait le carnet d’adresses de l’utilisateur et les données personnelles (adresses mail, numéros de téléphone) des « amis » de ses contacts. Alors que ces données ne doivent servir qu'à réaliser des suggestions d'ajout d'amis, les données personnelles de ces contacts étaient alors partagées automatiquement. © Facebook

    « Les amis des amis dans le même panier. » L’outil de sauvegarde des comptes de Facebook rencontrait un bug qui mixait le carnet d’adresses de l’utilisateur et les données personnelles (adresses mail, numéros de téléphone) des « amis » de ses contacts. Alors que ces données ne doivent servir qu'à réaliser des suggestions d'ajout d'amis, les données personnelles de ces contacts étaient alors partagées automatiquement. © Facebook

    Le coupable : l'outil de sauvegarde intégré à Facebook

    Avec ce bug, dès que la personne souhaitait réinjecter son archive dans son compte, elle pouvait retrouver ses contacts, mais aussi l'ensemble des données des contacts (adresses mail, numéros de téléphone) du répertoire de chacun de ses « amis ». Dans son billet, le réseau social tente toutefois de minimiser l'impact de ce bug en expliquant que de toute manière, ces données ne concernaient que des utilisateurs ayant déjà des connexions plus ou moins proches entre eux.

    Pour corriger ce bug, Facebook a désactivé temporairement l'outil de sauvegarde baptisé Download Your Informations. Le réseau social a également envoyé un message explicatif aux utilisateurs impactés. Enfin, le bulletin de sécurité se veut rassurant en expliquant qu'il écarte toute exploitation criminelle de ce bug. Facebook l'avoue toutefois, « aucune entreprise, même avec la meilleure volonté du monde, ne peut se soustraire à 100 % des bugs »... Il en est donc de même pour la confidentialitéconfidentialité des données personnelles des utilisateurs du réseau social.