Décidément Facebook et la vie privée ce n’est toujours pas ça. Tandis que des informations sur l’exposition de centaines de millions d’utilisateurs reviennent régulièrement, en décembre 2019, en avril 2019, en septembre 2018, cette fois-ci ce sont les administrateurs de page Facebook qui ont été exposés entre le jeudi 9 janvier et le matin du vendredi 10 janvier 2020.

Les créateurs de pages Facebook le savent sans doute, par défaut, l’administrateur est inconnu des abonnés de la page. En se rendant sur la page Facebook de Siècle Digital impossible de savoir qui a publié tel message ou tel autre, en théorie. Il est toujours possible de rendre l’identité des administrateurs publique, mais c’est un choix assez peu répandu.

Seulement voilà, Facebook a mené une mise à jour jeudi soir avec un bug dans son code. Ce bug, présent quelques heures, permettait très simplement de retrouver l’identité du ou des administrateurs de pages Facebook.

Il suffisait de regarder un message publié par la page et de se rendre dans l’historique d’édition. Cet historique doit permettre à tout un chacun de voir les changements faits par un administrateur sur le contenu d’un message, par exemple les fautes d’orthographe corrigées. Avec le bug de jeudi soir, les changements dans les messages n’étaient pas publiés, à la place le profil Facebook de la personne à l’origine de l’édition et donc de l’un ou de l’administrateur de la page.

Dans une déclaration relayée par Wired Facebook a expliqué avoir « rapidement résolu un problème qui permettait à quelqu’un de voir qui avait modifié ou publié un message au nom d’une page en regardant son historique d’édition » tout en remerciant le chercheur en sécurité qui les a alertés.

Le « problème » est effectivement resté en ligne moins de 24 heures, mais cela a été plus que suffisant pour que les habitués de 4chan s’amusent à chercher les identités des administrateurs derrière de grosses pages.

Sans surprise on apprend que beaucoup de pages de célébrité sont gérées par des community manager ou tout du moins par des tiers. Greta Thunberg, Snoop Dogg, Hillary Clinton, par exemple, n’administrent pas directement leur page. La jeune activiste écologiste s’est tout de même fendue d’un message d’explication à ses quelque trois millions d’abonnés Facebook.

Message sur le compte Facebook de Greta Thunberg

Crédit : page Facebook officielle de Greta Thunberg

Plus délicat, les identités des administrateurs de pages comme Anonymous ou celle du street-artiste Banksy ont été révélées. Pour eux qui ont fait de l’anonymat un leitmotiv, ce bug de Facebook pourrait avoir des répercussions plus graves, à la condition que leur profil public ne soit pas lui-même anonymisé.

Lukasz Olejnik, un expert en vie privée associé à l’Université d’Oxford a déclaré à Wired que « pour les pages sensibles, je n’exclurais pas que certaines personnes puissent se sentir en danger à cause de ce qui s’est passé aujourd’hui ». Il conseille notamment de ne pas utiliser son profil Facebook personnel pour gérer une page. Un conseil qui sera probablement beaucoup plus suivi après le bug de Facebook de la semaine passée.