Facebook n'aurait pas protégé adéquatement certaines informations personnelles de ses membres rendues disponibles accidentellement à des annonceurs publicitaires depuis quelques années, révèle l'entreprise de logiciels de sécurité informatique Symantec.
> Suivez Vincent Brousseau-Pouliot sur Twitter
Malgré cette faille de sécurité, Facebook et Symantec pensent qu'aucune information personnelle n'a été transmise à des tiers sans autorisation. Facebook a corrigé la faille de sécurité liée à sa page pour les développeurs d'applications.
Par l'entremise de cette page, des informations sur les profils des membres, leurs photos et leurs clavardages auraient pu être accessibles accidentellement à des tiers, dont des annonceurs publicitaires. Des tiers auraient aussi eu la possibilité d'écrire des messages et de changer des informations personnelles. Symantec, qui a découvert cette faille et en a informé Facebook en février, a révélé son existence publiquement hier sur son blogue.
Depuis quelques années, environ 100 000 applications Facebook auraient pu donner accès aux informations personnelles des membres du réseau social, selon Symantec. Comment? Les développeurs d'applications Facebook ayant accès aux données personnelles d'un utilisateur avec son autorisation pouvaient, par erreur, les transférer à un tiers dans certaines circonstances. Lorsqu'on change son mot de passe, la faille se referme et l'utilisateur de Facebook n'a plus rien à craindre, selon Symantec.
«C'était une erreur dans le design de la programmation, rien qu'un logiciel de sécurité n'aurait pu détecter. Le problème a été réglé, mais c'est un rappel pour les internautes de bien penser aux informations personnelles qu'ils mettent sur le web», a dit Kevin Haley, directeur de l'équipe de sécurité technologique de Symantec, en entrevue à La Presse Affaires. C'est l'un des membres de son équipe, Nishant Doshi, qui a révélé l'existence de la faille informatique de Facebook mardi sur le blogue officiel de Symantec. «Heureusement, les tiers n'ont pas réalisé non plus qu'ils avaient accès à ces informations», a écrit Nishant Doshi sur le blogue de Symantec.
Après avoir fait enquête, Facebook estime ne détenir aucune preuve que des informations personnelles de ses membres ont été consultées par les tiers. «Les annonceurs et les développeurs ont des obligations contractuelles avec Facebook qui les empêchent d'obtenir ou d'échanger des informations sur nos membres en violation de nos politiques de confidentialité», a indiqué une porte-parole de Facebook, Malorie Lucich.
Tout en reconnaissant la faille de sécurité, Facebook a pris soin de noter dans son communiqué «quelques inexactitudes» à propos des révélations de Symantec. Selon le professeur Jean-François Ouellet, professeur de marketing à HEC Montréal, cet épisode ne signifie pas la fin de la collaboration entre le réseau social et l'entreprise de sécurité informatique. «Cet épisode renforce la crédibilité de Symantec, qui se positionne comme une marque se préoccupant de la sécurité des internautes», dit-il.
Facebook est le réseau social le plus populaire du monde avec plus de 600 millions d'utilisateurs. Il est aussi au deuxième rang des sites web les plus consultés du monde avec 138 millions de visiteurs uniques par mois, derrière Google et ses 150 millions de visiteurs uniques par mois.