Tout téléphone mobile fonctionnant sous Android envoie le numéro de téléphone aux serveurs de Facebook, même si le propriétaire du téléphone ne publie pas de mises à jour ou ne se connecte même pas. Vous avez installé l’application disponible aujourd’hui, la première chose que fait le logiciel est d’envoyer votre numéro de téléphone au réseau social. Cette faille a été confirmée par Symantec, une société de sécurité qui ne demande pas de présentations.
Voici l’explication de Symantec : “la première fois que vous démarrez l’application Facebook, avant même de vous connecter, votre numéro de téléphone sera envoyé par internet aux serveurs de Facebook. Vous n’avez pas besoin de fournir votre numéro de téléphone, de vous connecter, de lancer une action spécifique, ni même d’avoir un compte Facebook pour le faire”.
Effrayant, hein ?
Il est tout à fait vrai qu’avant d’installer une application, Play Store vous informe exactement des autorisations que le logiciel vous demande d’exécuter. Il peut s’agir simplement de votre e-mail lié à votre compte Google, mais aussi de l’accès à des photos, des fichiers, des journaux d’appels téléphoniques et bien plus encore.
Je suis allé au Play Store pour vérifier ce que demande l’application Facebook. En gros, l’utilisateur qui installe le logiciel permet au Diable, dans la figure de Mark Zuckerberg, de lui enlever l’âme s’il le souhaite. Cependant, blague à part, voici l’une des autorisations : “Permet à l’application d’accéder aux ressources de téléphonie de l’appareil. Cette autorisation permet à l’application de déterminer le numéro de téléphone et les identifiants des appareils lorsqu’un appel est actif et le numéro distant connecté à un appel”. Cet appareil peut permettre une telle lecture du numéro de téléphone avant l’installation de Facebook sur Android.
“Ah, mais ce n’est que mon numéro de téléphone ! Qu’y a-t-il de mal à cela ?”
Cela dépend de chaque utilisateur. À l’époque de Prism, ce programme du gouvernement américain pour espionner ce que font les gens sur Internet – ils appuient sur le bouton que seule l’activité suspecte est surveillée -, on ne s’en soucie guère. Au lieu de me demander “Quel est le problème”, je me demande “Pourquoi ont-ils besoin de savoir cela ? La prémisse est fausse. La normale devrait être le droit à la vie privée.
Pour en revenir à cette importante fuite, il convient de rappeler que Symantec est une société de logiciels de sécurité. Ils ont fait cette révélation en même temps qu’ils annonçaient un nouvel antivirus pour Android. Cela me semble être une sacrée coïncidence.
Un porte-parole de Facebook en a parlé au site d’information américain Huffington Post. Il a remercié Symantec pour son reportage sur l’événement. Il a également averti que la dernière version de la bêta de Facebook pour Android a corrigé ce bogue. Ce qui, en fin de compte, ne corrige pas grand-chose, puisque le nombre de millions de personnes a été envoyé sur les serveurs de Mark sans que nous le sachions.
PerlmOl a enseigné dans cet article comment installer la version bêta de Facebook.
Il n’y a pas de rapport sur la même lacune dans l’application Facebook pour iOS et d’autres plateformes.