C'est une drôle d'affaire dans laquelle est empêtrée Facebook. Quand l'authentification à deux facteurs est activée, l'internaute peut donner son numéro de téléphone, afin qu'il reçoive un code. Problème, des utilisateurs l'ayant fait reçoivent maintenant des notifications par SMS.

Ces notifications ont trait aux statuts publiés par leurs amis. Le cas, notamment présenté par le développeur Gabriel Lewis, s'est vite répandu sur Twitter, notamment repris par le sociologue Zeynep Tufekci. Les critiques sont nombreuses et franches. Les utilisateurs ont également remarqué qu'en cas de réponse à ces SMS, le message était automatiquement publié sous forme de statut sur Facebook.

Facebook a fini par répondre, notamment à The Verge. L'entreprise indique qu'elle va examiner le problème. Elle rappelle toutefois que le numéro de téléphone n'est pas obligatoire, puisque l'on peut utiliser une application de type Authenticator ou même une clé U2F.

Certes, mais le porte-parole n'a pas indiqué s'il s'agissait d'un comportement voulu ou d'un bug. Car utiliser le même numéro pour les authentifications et de simples notifications n'a rien de très sécurisé. Rien non plus que la publication automatique d'un statut en cas de réponse au SMS.