Facebook Groups : une centaine de développeurs pouvaient accéder aux données de membres

Facebook Groups : une centaine de développeurs pouvaient accéder aux données de membres

Par Sébastien Gavois

Le 06 Novembre 2019 à 09h39
Internet
1 min 9

Facebook Groups : une centaine de développeurs pouvaient accéder aux données de membres

Nouveau problème de sécurité pour le réseau social, qui ne s’en cache pas : l’information provient de son propre communiqué.

L’entreprise rappelle qu’en avril 2018, elle a procédé à plusieurs changements sur son API Groups, dont les autorisations pouvaient être utilisées trop largement pour accéder aux données des utilisateurs. Depuis le serrage de vis, une surveillance a été mise en place.

Facebook avertit ainsi que des applications gardaient un accès à des informations comme le nom et la photo de profil, en lien avec l’activité du groupe auquel un utilisateur pouvait être inscrit. Ces accès ont été coupés.

La société annonce également qu’une centaine de « partenaires » ont été contactés pour des accès potentiels à ces informations après avril 2018. Elle ne semble pas certain du nombre exact, mais ajoute que 11 d’entre eux ont accédé à ces informations durant les deux derniers mois.

Il n’y aurait selon Facebook aucun abus, mais demande a été faite aux partenaires de supprimer les informations qui seraient encore en leur possession. Des audits sont prévus pour vérifier que le travail aura été bien fait.

Commentaires (9)


iFrancois Abonné
Le 06/11/2019 à 09h21

Ils se sont inspirés d’Adobe pour leur sécurité chez Facebook ? Tous les jours une nouvelle histoire&nbsp;<img data-src=" />


j34n-r0x0r
Le 06/11/2019 à 13h02

Que pour les jeux en flash normalement.<img data-src=" />


boogieplayer
Le 06/11/2019 à 13h17

Bien sûr que les dev on accès à tout, c’est comme ça depuis la nuit des temps de l’informatique. Même qu’on appelle ça le God Mode


Kevsler
Le 06/11/2019 à 13h42

Fist mode… nan ? On parle de Facebook là :p


boogieplayer
Le 06/11/2019 à 14h47

<img data-src=" />


Ricard
Le 06/11/2019 à 18h17

Au risque de me répéter….. “Ho mon Dieu…. s’pas possible”



Ca en devient lassant. <img data-src=" />


wanou Abonné
Le 07/11/2019 à 16h20







boogieplayer a écrit :



Bien sûr que les dev on accès à tout, c’est comme ça depuis la nuit des temps de l’informatique. Même qu’on appelle ça le God Mode





Pas si les données sont chiffrées et que les dev ne les ont pas.



boogieplayer
Le 07/11/2019 à 16h28







wanou a écrit :



Pas si les données sont chiffrées et que les dev ne les ont pas.







Tu me sembles bien naïf jeune padawan.



Juste un exemple : les mot de passe. Rien n’empêche un dev de faire un bout de script qui enregistre les mdp en clair avant des les stocker en chiffrées. Rien n’empêche un dev de faire un script qui permet de se connecter à TOUS les comptes avec son mot de passe à lui. Etc… Etc…



wanou Abonné
Le 07/11/2019 à 21h19

Je ne suis ni jeune ni ton padawan.



Oui, actuellement, le respect des données personnelles est laissée au bon vouloir des DEV mais ce n’est pas une fatalité technique.



Tout est question d’API. Prenons un exemple: watsapp ou WeChat.



Les deux applications demandent d’avoir accès aux contacts (obligation côté Wechat), pour permettre:





  • de visualiser le nom correspondant à un numéro si ce numéro est dans le répertoire ;

  • d’aspirer la liste exaustive des liens de l’utilisateur pour cartographier les données.







    Le premier usage semble assez légitime mais le deuxième est carrément abusif.



    Si l’API permet un accès complet, alors il est impossible de pouvoir choisir entre les deux usages.

    Si l’API ne permet que de demander le nom correspondant à un numéro donné, avec un nombre limité de requêtes par jours, alors il est possible d’empêcher un DEV de faire ce qu’il veut.



    Et pour les big brother façon WeChat, il faudrait des API qui renvoient des données moisie si le programme exige cet accès et que l’utilisateur ne le veut pas.



    Bref, il y a moyen de bloquer les actions des DEV indélicats.


Fermer