dans

Facebook télécharge discrètement vos listes de contacts, mais encore une fois, on s’en fiche

Quelques semaines à peine après que Facebook ait reconnu avoir stocké en secret les mots de passe de ses utilisateurs en texte clair sur ses serveurs, auxquels ses employés avaient accédé plus de 9 millions de fois, le Daily Beast a rapporté plus tôt ce mois-ci que la société avait discrètement commencé à exiger de vérifier leurs comptes en remettant à zéro le mot de passe au compte de messagerie utilisé pour créer leur profil Facebook. 

À ce moment-là, le journal a indiqué que «la société a récemment été critiquée pour avoir réutilisé des informations qu’elle avait initialement acquises pour des raisons de« sécurité »».

Il s’avère que c’est exactement ce qui s’est passé, puisque Facebook a connecté les comptes de messagerie externes des utilisateurs et «involontairement» téléchargé silencieusement une copie de leur carnet d’adresses sur ses serveurs à leur insu ou sans leur consentement, s’envolant avec les listes de contacts de plus de 1,5 million de personnes.

La société a promis de supprimer les données mais n’a pas répondu lorsqu’elle lui a demandé de s’engager sur une date précise à laquelle elle accepterait de supprimer les listes obtenues de manière illicite.

Comment avons-nous atteint le point où une grande entreprise a jugé acceptable d’exiger que les utilisateurs lui transmettent les mots de passe de leurs comptes de messagerie et exploitent ensuite leurs listes de contacts en mode silencieux?

L’aspect le plus remarquable du dernier scandale relatif à la protection de la vie privée de Facebook n’est peut-être pas qu’il s’est produit, mais plutôt qu’il a suscité si peu d’indignation et qu’aucun d’entre nous ne quittera la plate-forme. 

À l’échelle mondiale, l’histoire était à peine visible sur le radar des médias technologiques.

Certes, il a fait la une des journaux, mais il était loin du genre de déluge général qui a duré une semaine et qui était autrefois associé à de telles violations massives de la vie privée et de la sécurité.

Dans le monde numérique cyberconscient d’aujourd’hui, un service en ligne exige presque que ses utilisateurs transmettent leurs mots de passe à des services extérieurs aussi sensibles que leur courrier électronique, juste pour le droit et le privilège d’utiliser leur produit.

De nombreux produits offrent une valeur ajoutée aux services de courrier électronique et de médias sociaux et nécessitent par conséquent une autorisation pour accéder à ces comptes pour le compte d’un utilisateur, mais dans ce cas, l’accès est explicitement nécessaire et l’utilisateur comprend pourquoi son accès est nécessaire et accorde explicitement cet accès. 

Plus précisément, il n’existe pas aujourd’hui de service majeur qui oblige les utilisateurs à remettre leurs mots de passe pour faciliter leur accès.

En fait, avec une authentification à deux facteurs, il est de plus en plus difficile de se connecter à l’aide d’un mot de passe d’un service à un autre.

Au lieu de cela, les services utilisent des processus d’authentification simplifiés qui ne requièrent jamais de services externes pour accéder au mot de passe d’un utilisateur et accordent explicitement les privilèges d’accès de ce service aux données de l’utilisateur.

Facebook n’a jamais réellement eu besoin d’accéder au compte de messagerie d’un utilisateur pour les authentifier.

Depuis l’aube du Web moderne, les services ont authentifié les comptes de messagerie des utilisateurs en leur envoyant simplement un courrier électronique avec un lien de clic ou un code à copier-coller dans un formulaire d’authentification pour vérifier qu’ils ont accès au compte en question. 

Obliger les utilisateurs à fournir leur mot de passe pour vérifier qu’ils ont accès à un compte de messagerie est tout simplement une expérience inouïe et une violation sans précédent des pratiques de sécurité modernes.

En plus de confirmer que la demande de mot de passe était bien un produit officiellement approuvé et non le travail d’un codeur non autorisé ou une erreur interne, Facebook est resté silencieux sur la raison pour laquelle il était considéré comme une pratique de sécurité acceptable de demander aux utilisateurs de fournir leurs mots de passe de messagerie.

Sans surprise, la société n’a pas répondu à une demande de commentaire.

Il s’avère que l’une des raisons pour lesquelles ce mot de passe est nécessaire est que Facebook se connectait discrètement aux comptes de messagerie des utilisateurs et collectait silencieusement leurs listes de contacts, qu’ils téléchargeaient également sur leurs propres serveurs.

Lorsqu’elle a été confrontée à ses activités, la société est restée en grande partie silencieuse sur ses actions, à part affirmer que la récolte était « non intentionnelle » et qu’elle supprimerait les listes récoltées à un moment donné. 

En fait, étant donné que les utilisateurs ont consenti légalement, sinon volontairement, à la collecte, il est difficile de savoir si la société est effectivement soumise à une obligation légale de supprimer les données qu’elle a acquises.

Il n’a pas répondu à la question de savoir s’il y avait des implications de la récolte dans le RPGD.

Il est particulièrement intéressant de noter que pour une violation aussi grave et conséquente, la société n’a pas présenté d’excuses plus forcées, associée à un examen externe de ses pratiques de sécurité et n’a pas promis de supprimer toutes les données acquises dans les 24 heures.

À ce jour, la société a refusé de commenter ou tout simplement n’a pas répondu du tout à toutes les demandes de commentaires quant à savoir si elle s’engagerait à autoriser un examen par un tiers indépendant et externe de l’ensemble de son infrastructure et de sa position de sécurité. 

Avec violation après violation, il semble que nous sachions pourquoi: la société a trop peur de ce qu’une telle vérification révèlerait.

En résumé, il est vraiment extraordinaire qu’en 2019, Facebook considère comme une pratique de sécurité acceptable d’exiger que les utilisateurs transmettent leurs mots de passe et autorise la collecte de plus de 1,5 million de carnets d’adresses, et a résisté à la demande de proposer un calendrier les données acquises de manière illicite seraient supprimées.

En fin de compte, cela n’a cependant aucune importance, car Facebook a réussi à convaincre le public et les décideurs politiques de ne pas se soucier de leur sécurité ou de leur vie privée en ligne.

Encore une fois, nous allons simplement nous asseoir et attendre la prochaine révélation d’une autre violation massive de la sécurité de Facebook, mais aucun d’entre nous ne quittera jamais la plate-forme, peu importe ce que cela nous fait. 

Comment supprimer les amis désactivés de Facebook

Agence web Selooking : création de site internet et référencement