Cette faille a été identifiée par une équipe de chercheurs américains, français et allemands qui ont transmis les informations à Facebook au mois de mai 2017. Le réseau social a corrigé ce ‘bug’ le 22 décembre et a récompensé l’équipe pour un montant de 5 000 dollars dans le cadre de son programme de bug bounty. Ces chercheurs opèrent respectivement à la Northeastern University, EURECOM, MPI-SWS, et Univ. Grenoble Alpes, CNRS, Inria, Grenoble INP, LIG.

Donner nos numéros de téléphone à Facebook, c’est en général dans le but de sécuriser un peu plus notre compte, ou d’autres tâches comme l’utilisation d’Account Kit, une fonctionnalité lancée en marge du F8 (conférence annuelle de Facebook) 2016. Loin de l’aspect sécurité, les numéros de téléphones portables laissés à Facebook pouvaient être révélés à des annonceurs grâce à l’outil de ciblage pour les audiences personnalisées. La même faille pouvait être utilisée pour récupérer les numéros d’utilisateurs qui avaient visité une page sur un site internet.

Alors que le réseau social tente de protéger les données personnelles de ses utilisateurs par de nombreux moyens, la technique identifiée par les chercheurs est clairement une défaite. Néanmoins, Facebook se veut rassurant en assurant qu’il n’y avait aucune preuve qu’un annonceur ait utilisé cette méthode qui, de plus, n’est pas simple à mettre en place.

Les chercheurs ont utilisé la fonctionnalité d’audience personnalisée qui permet de cibler des utilisateurs Facebook en fonction de nombreux critères et/ou combiné avec un pixel de conversion. Comme preuve, les chercheurs ont réussi à révéler les numéros de téléphone de 19 volontaires de Boston et de France ayant au préalable laissé leurs adresses email (liées à leur compte). Wired décrit deux méthodologies pour récupérer les numéros de téléphone.

La première technique a été de créer une publicité qui cible environ 2 millions de personnes autour de Boston, et 20 millions en France. Ensuite, les chercheurs ont utilisé un outil de Facebook pour comparer leurs audiences proposées à une autre utilisant la base de 19 adresses des volontaires. En observant les changements entre les deux audiences, lorsqu’une adresse correspondait, il était possible d’accéder au numéro de téléphone portable.

La seconde technique permet, elle, de collecter des numéros en grande quantité en exploitant le pixel de conversion de Facebook. Il est en général utilisé pour faire du retargeting, c’est-à-dire, vous proposer de la publicité sur Facebook après que vous ayez visité des pages sur Amazon, ou ASOS par exemple. Cette méthode prenait quelques jours pour exploiter l’outil de ciblage, et environ 20 minutes de plus pour sortir un numéro à partir d’une adresse email.

Si Facebook a corrigé cette faille un peu avant Noël, ces deux méthodologies auraient pu être utilisées par des hackers dans le but de cibler des personnes bien précises avec des méthodes de phishing. Un annonceur malin et mal intentionné aurait aussi pu utiliser ces numéros dans le but d’envoyer des campagnes de SMS marketing.

Tout est bien qui finit bien, mais on ne saura peut-être jamais si nos numéros de téléphone ont été extraits de Facebook à notre insu.