Ceux qui pensaient que l’affaire Cambridge Analytica n’était que la partie émergée de l’iceberg ont eu raison : après le scandale, Facebook a tenté d’enquêter sur les performances d’applications tierces sur son réseau social et a confirmé que l’une d’entre elles, NameTests.com, pourrait avoir exposé les données de 120 millions d’utilisateurs.
Le problème a été découvert par un chercheur en sécurité qui s’identifie comme Inti De Ceukelaire. Il a commencé à enquêter sur les applications sur Facebook après que la société ait annoncé un programme de récompenses en avril pour toute personne trouvant des cas d’abus de plateforme.
De Ceukelaire est arrivé sur NameTests.com après avoir cherché quelles applications de quizz ses contacts de réseau social utilisaient le plus. Pour lui, il était logique de commencer par ce genre d’outil : ce n’est plus un secret que derrière le divertissement apparent qu’offrent les tests et les quiz, il y a généralement d’autres intentions.
Avec environ 120 millions d’utilisateurs, NameTests.com est l’un des services de quiz les plus populaires de Facebook. Lors d’un test en répondant à un questionnaire, M. De Ceukelaire s’est rendu compte que l’application obtenait des informations par le biais d’une URL spécifique sans que l’utilisateur ne s’en aperçoive.
Ces informations comprennent le nom, le sexe, le lieu, l’âge et la date de naissance. Les données pouvaient être consultées relativement facilement par un tiers car elles étaient exposées à l’aide de code JavaScript.
Comme si cela ne suffisait pas, des données supplémentaires telles que des photos, des messages et une liste de contacts pouvaient également être transmises grâce à un jeton d’accès fourni par NameTests.com. La variété des données dépendait du type de questionnaire auquel on répondait.
Cela ne s’arrête pas là. De Ceukelaire a remarqué que NameTests.com transmettait des données même après que l’utilisateur ait supprimé l’application de son compte. La seule façon de protéger les informations personnelles était de supprimer les cookies du navigateur. L’application n’offrait aucune fonctionnalité à cet effet.
Social Sweethearts, la société allemande responsable de NameTests.com, a été contactée pour commenter la question. La société a répondu qu’il n’y avait aucune preuve que les données extraites par son application avaient été transmises à des tiers ou utilisées de manière abusive, mais que des mesures étaient prises pour éviter ce risque.
Mais ce qui est le plus frappant – mais pas surprenant – c’est le retard de Facebook à agir. La société a été alertée par De Ceukelaire le 22 avril (Facebook dit que c’était le 27) et a répondu le 30 du même mois en disant qu’elle allait enquêter sur le problème. Sans réponse, le chercheur a pris un nouveau contact le 14 mai. Une semaine plus tard, Facebook lui a expliqué que l’enquête pouvait durer jusqu’à six mois.
Le problème est qu’entre-temps, les données des utilisateurs de NameTests.com étaient toujours exposées. De Ceukelaire a remarqué que lundi dernier seulement (25), deux mois après la première notification, la demande n’était plus vulnérable. Deux jours plus tard, Facebook a confirmé que le problème avait été résolu.
Un détail qui attire l’attention est que si Facebook a confirmé les risques de l’application, il n’a pas banni NameTests.com de sa plateforme. L’entreprise s’est contentée de régler le problème, laissant entendre que l’enquête avait trouvé une faute, et non une activité délibérément malveillante.
Il n’y a aucune certitude quant aux décisions prises dans cette affaire car Facebook n’a pas donné de détails sur l’enquête (présumée), ni expliqué pourquoi il a fallu tant de temps pour vérifier le problème.
Au final, De Ceukelaire a été récompensé de 8 000 euros pour avoir découvert la vulnérabilité. La moitié de cette somme a été reversée à une institution qu’il a nommée : la Fondation pour la liberté de la presse, qui défend la liberté de la presse.
Cela ne fait pas de mal de renforcer le message qui a été donné à l’époque du scandale de Cambridge Analytica : soyez très prudent avec ces tests populaires sur Facebook qui montrent quel personnage de dessin animé vous seriez, quelles sont vos principales qualités, comment vous seriez sur la couverture d’un magazine, etc.
