Un pirate belge découvre une vaste fuite de données dans des tests de personnalité sur Facebook

29/06/18 à 14:01 - Mise à jour à 14:01

Les données privées de millions d'utilisateurs Facebook ont été deux années durant exploitées par des sites web sur lesquels ils surfaient. Une faille sécuritaire dans une appli populaire de mini-tests de personnalité en était à l'origine, signale le pirate éthique belge Inti De Ceukelaire.

Un pirate belge découvre une vaste fuite de données dans des tests de personnalité sur Facebook

© Inti De Ceukelaire

'Ce type de scandale se manifestera encore souvent', écrivions-nous après le tumulte provoqué par Cambridge Analytica. Facebook doit en avoir pris conscience aussi, car elle a lancé en avril un programme bug bounty, qui promet une récompense à tout un chacun qui découvre une appli transférant illégalement des données d'utilisateurs.

Après cette annonce, le pirate belge Inti De Ceukelaire saisit la balle au bond. En défilant le long de sa ligne du temps, il observa que ses amis sur Facebook utilisaient une appli pour remplir de petits quiz du genre 'A quelle princesse Disney t'apparentes-tu?'. Ce genre de test est l'apanage de l'entreprise allemande Social Sweethearts. Son appli 'Nametests' est utilisée chaque mois par plus de 120 millions de personnes, dont des Belges.

Lorsque le pirate éthique compléta lui-même un de ces mini-tests, il constata à son grand étonnement que l'appli collectait non seulement toutes sortes de données privées, mais qu'elle conservait aussi ces informations en javascript. Il se rendit alors compte que ces données pouvaient ainsi être sollicitées par n'importe quel autre site web.

Pour vérifier si tel était bien le cas, De Ceukelaire créa un site web externe sur cette connexion, appelé NameTests.com. Il réussit en effet ainsi à accéder à tous les messages, photos et amis Facebook de tout un chacun surfant sur son site web et ayant installé l'appli NameTests. Il parvint même à mettre la main sur les données de quelqu'un qui avait participé au quiz, puis avait supprimé l'appli de sa machine, comme il le montre dans une vidéo. Selon De Ceukelaire, ces données sont restées ensuite deux mois durant sur son site web.

"Je peux m'imaginer que personne ne souhaite qu'un site web visité puisse lui voler des informations et des photos", écrit-il sur son blog. "Ce site web pourrait par exemple lui envoyer des annonces (politiques) ciblées sur base de ses messages et amis sur Facebook. Des sites web plus explicites encore pourraient abuser de cette faille sécuritaire pour faire chanter leurs visiteurs. Ils pourraient par exemple menacer de faire parvenir l'historique de navigation secret de leurs visiteurs à leurs amis sur Facebook."

Contrairement au scandale Cambridge Analytica, il n'existe dans pareil cas aucune preuve d'abus par un tiers. La faille a entre-temps été colmatée, selon Facebook, qui a réagi à la découverte de De Ceukelaire. Le pirate éthique en avait informé l'entreprise de médias sociaux dès le 22 avril. Il se voit à présent attribuer une récompense bug bounty de 8.000 euros qu'il offrira à la Freedom of The Press Foundation.

Nos partenaires