La fuite viendrait d’un SDK (kit de développement) malveillant qui aurait été utilisé pour accéder aux données personnelles des utilisateurs. En effet, Facebook et Twitter précisent que les données de « centaines d’utilisateurs » ont pu être consultées et récupérées par des développeurs.

Une erreur qui ne vient pas directement des réseaux sociaux

Attention : il est important de préciser que la fuite ne vient pas directement des réseaux sociaux mais d’un SDK indépendant de Facebook et de Twitter. Le bug a d’abord été signalé par CNBC lundi matin. Les deux réseaux sociaux ont ensuite repris la main en expliquant qu’effectivement, les données personnelles de plusieurs centaines d’utilisateurs avaient pu être collectées par des développeurs tiers. D’après Twitter :

« Nous avons constaté que ce SDK a été utilisé pour accéder aux données personnelles de certains titulaires de comptes Twitter utilisant Android. Pour le moment, rien ne montre que la version iOS de ce SDK malveillant ait ciblé les utilisateurs de Twitter pour iOS. Ce problème n’est pas dû à une vulnérabilité du logiciel Twitter, mais au fait que les SDK ne sont pas suffisamment isolés au sein d’une application. Notre équipe chargée de la sécurité a déterminé que le SDK malveillant, qui pouvait être intégré dans une application mobile, était susceptible d’exploiter une vulnérabilité de l’écosystème mobile pour permettre l’accès à des informations personnelles (adresse email, nom d’utilisateur, dernier Tweet).

Des données récupérées par des développeurs

Vraisemblablement, les deux entreprises ont été informées de la vulnérabilité de leurs plateformes par des chercheurs en sécurité. C’est un SDK géré par OneAudience qui aurait permis à des développeurs externes d’avoir accès aux données personnelles des utilisateurs des réseaux sociaux. Aussi, les utilisateurs des applications de retouche photo dont Giant Square et Photofy pourraient également avoir été touchés. De son côté, Facebook affirme que :

« Nous avons l’intention d’informer les personnes dont nous pensons que les informations ont probablement été partagées après qu’elles aient accordé à ces applications la permission d’accéder aux informations de leur profil, telles que leur nom, leur e-mail et leur sexe. Nous encourageons nos utilisateurs à être prudents lorsqu’ils choisissent de « se connecter avec Facebook » auprès d’applications tierces ».

Google et Apple sont évidemment au courant de cette vulnérabilité. Ils vont pouvoir prendre des mesures pour stopper ce phénomène. Les deux géants américains n’ont pas souhaité faire de commentaires sur cette affaire.