Mardi, un chercheur a démontré dans une vidéo, qui a cessé de circuler depuis, qu’un outil appelé Facebook Email Search v1.0 permettrait de gérer jusqu’à 5 millions d’adresses e-mail par jour, donnant ainsi la possibilité de créer une base de données d’utilisateurs et d’accéder à leurs identités. Il est initialement prévu pour retrouver les connexions entre des comptes Facebook et les adresses e-mail qui y sont liées, que le profil soit privé ou non.

Facebook minimise les conséquences

Le mois dernier, Facebook minimisait l’importance du vol de données de 533 millions d’utilisateurs, une fuite que la firme connaissait pourtant depuis des années. Le réseau social doit faire face à un nouveau danger, mis en avant dans une vidéo postée par un chercheur. Cette potentielle fuite provenant de Facebook Email Search v1.0 donnerait la possibilité de créer une base de données d’utilisateurs Facebook à partir de leurs adresses e-mail. Le risque est grand, car cela permettrait de faire un lien entre une adresse et une identité. “Ce n’est pas seulement une importante violation de la vie privée, cela va résulter en un énorme transfert de données incluant les adresses e-mails, permettant à des personnes indésirables de lier un e-mail à une identité mais aussi à un numéro de téléphone, ce qui a été fait lors de précédentes violations” dit-il dans la vidéo.

Le réseau social aurait un système affaibli, comme le démontre le chercheur : “Comme vous pouvez le constater dans les logs ici, j’obtiens de nombreux résultats” a-t-il déclaré en montrant l’impact de l’outil sur les adresses e-mail. “J’ai dépensé peut-être 10 dollars pour acheter environ 200 comptes Facebook. En l’espace de 3 minutes, j’ai réussi à faire la même chose, mais pour 600.”

La vidéo du chercheur révèle une faille dans l’outil Facebook Email Search v1.0. Image : Arstechnica

Facebook aurait déjà été contacté concernant cette fuite, laissant entendre qu’elle “n’était pas assez importante pour être corrigée”. Le réseau social a été très critiqué pour sa manière de collecter massivement les données, mais aussi pour sa façon d’exposer ses utilisateurs à des risques importants. Il est donc rapidement revenu sur ses propos en indiquant que la faille avait été corrigée depuis. Néanmoins, des bases de données d’utilisateurs Facebook auraient eu le temps d’être créées pendant que le logiciel en question circulait en ligne.

Cette potentielle faille remet une nouvelle fois en cause la protection des données des utilisateurs de Facebook. Si la firme essaye d’étouffer l’affaire, c’est parce qu’elle a une stratégie pour minimiser ces problèmes. En effet, le site néerlandais DataNews a mis la main sur un e-mail envoyé en interne, datant du 8 avril. Dans celui-ci, elle indique une stratégie consistant à en faire un problème à l’échelle de l’industrie, qui ne concernerait pas seulement Facebook : “À long terme, nous nous attendons à un plus grand nombre d’incidents de scraping et il est important d’en faire un problème sectoriel et de normaliser le fait que cela se produit régulièrement”. Une stratégie douteuse qui remet en question la façon dont la firme collecte les données de ses utilisateurs.