«Sur Facebook, les données personnelles restent personnelles», affirmait encore, la semaine passée, l'entreprise de Mark Zuckerberg via des pleines pages de pub achetées dans plusieurs médias français (dont Libération). Depuis l'explosion en mars du scandale de «Cambridge Analytica» - du nom de cette boîte de «marketing» politique accusée d'avoir siphonné les données de 87 millions d'utilisateurs du réseau social, au profit du camp trumpiste et des partisans du Brexit -, le géant de Menlo Park n'a pas ménagé ses efforts pour tenter de redorer son blason. Et il est loin d'avoir fini : jeudi, un chercheur belge en sécurité informatique, Inti De Ceukelaire, révélait qu'une application de tests très populaire sur Facebook avait rendu accessibles, pendant plus d'un an, les données d'utilisateurs friands de quiz du type «Quelle princesse Disney es-tu ?».
Dès le 21 mars, Facebook avait annoncé entamer un audit des applications «tierces», auxquelles les internautes s'inscrivent en utilisant leur compte sur le réseau. Pourtant, en avril, quand le «chasseur de bugs» a pour la première fois cliqué sur un test de personnalité, mis en ligne par NameTests.com, il a découvert que les données partagées avec l'appli devenaient «accessibles à n'importe quelle tierce partie qui demanderait à y accéder»…
Lorsqu’un utilisateur de Facebook se connectait à un quiz, NameTests générait un enregistrement contenant notamment son nom, date de naissance, langue et pays. Problème : ledit enregistrement était techniquement accessible à n’importe quel site web visité par l’utilisateur, via une simple requête reposant sur les «cookies», petits fichiers «mouchards» déposés dans nos appareils par les sites que nous visitons.
Si NameTests (120 millions d'utilisateurs mensuels) a déclaré n'avoir pas trouvé de preuves que la vulnérabilité ait été exploitée, Facebook a reconnu, dans un message envoyé mercredi à De Ceukelaire, que la faille «aurait pu permettre à un attaquant de déterminer les détails d'un utilisateur connecté à la plateforme». Mais le géant n'a pas fait preuve d'un grand empressement. De Ceukelaire avait donné l'alerte le 22 avril. Un mois plus tard, les quiz étaient toujours disponibles sur le réseau social.