Les chercheurs Ashkan Soltani et Alon Gal de la firme de cyber-sécurité Hudson Rock ont annoncé hier dans une vidéo postée sur Youtube qu'avec leur outil Email Search v1.0, ils avaient pu associer massivement et automatiquement des adresses mail aux profils Facebook correspondants et ce, même si ces utilisateurs n'avaient pas rendu publique leur adresse mail.

Dans la démo, 65.000 adresses ont été mises en correspondance, mais l'outil serait capable d'associer jusqu'à cinq millions d'adresses mail par jour.

Aucun intérêt de la part de Facebook au début

Les chercheurs ont d'abord présenté leurs résultats à Facebook, afin que l'entreprise puisse prendre des mesures. Celle-ci leur répondit que le problème n'était pas suffisamment important que pour mériter une solution.

Ce n'est qu'après que les médias aient accordé de l'attention à l'outil que Facebook réagit vraiment. L'entreprise déclare à présent à Vice qu'elle s'était trompée et qu'elle n'avait initialement pas transmis les résultats aux bonnes personnes en son sein et qu'elle souhaite à présent solutionner le problème consistant à pouvoir rechercher d'énormes quantités d'adresses mail sans la moindre limite.

Il est malaisé de savoir s'il s'agit vraiment d'une erreur de la part de Facebook ou si l'entreprise revoit son approche suite à l'intervention des médias sur le sujet. Facebook a la réputation de ne résoudre les problèmes de sécurité que s'ils risquent de nuire à son image.

C'est ainsi qu'elle ignora en 2017 un avis similaire sur la recherche de numéros de téléphone. Le problème fut certes résolu ultérieurement, mais entre-temps, des cybercriminels avaient pu collecter des tas de données, qui ont ensuite fuité. Des documents internes que Data News a pu visionner, montrent que l'entreprise veut faire passer ce genre de pratique douteuse comme 'normale' et comme quelque chose qui se passe partout et ce, pour protéger sa réputation.

Pas un gros problème, mais bien un ancien problème

Ce type d'outil représente-t-il donc un énorme danger? Non. Suite à la gigantesque fuite de données chez Facebook, des informations personnelles de centaines de millions de personnes ont déjà fuité. L'outil automatise surtout la possibilité de rechercher quelqu'un sur base d'une adresse mail. En même temps, nombreux sont ceux qui possèdent une adresse mail portant leur nom, ce qui fait qu'un lien peut être aisément établi avec leur compte.

Mais le fait qu'il reste possible d'effectuer des recherches massives sur Facebook sans aucune limite, constitue un problème auquel le réseau social est confronté depuis des années déjà et qu'il promet de résoudre depuis des années. Très spécifiquement, Facebook déclara en avril 2018 déjà son intention de limiter la recherche sur la base de numéros de téléphone et d'adresses mail. Mais trois ans plus tard, l'entreprise n'a encore et toujours pas mis les choses au point.

Les chercheurs Ashkan Soltani et Alon Gal de la firme de cyber-sécurité Hudson Rock ont annoncé hier dans une vidéo postée sur Youtube qu'avec leur outil Email Search v1.0, ils avaient pu associer massivement et automatiquement des adresses mail aux profils Facebook correspondants et ce, même si ces utilisateurs n'avaient pas rendu publique leur adresse mail.Dans la démo, 65.000 adresses ont été mises en correspondance, mais l'outil serait capable d'associer jusqu'à cinq millions d'adresses mail par jour.Les chercheurs ont d'abord présenté leurs résultats à Facebook, afin que l'entreprise puisse prendre des mesures. Celle-ci leur répondit que le problème n'était pas suffisamment important que pour mériter une solution.Ce n'est qu'après que les médias aient accordé de l'attention à l'outil que Facebook réagit vraiment. L'entreprise déclare à présent à Vice qu'elle s'était trompée et qu'elle n'avait initialement pas transmis les résultats aux bonnes personnes en son sein et qu'elle souhaite à présent solutionner le problème consistant à pouvoir rechercher d'énormes quantités d'adresses mail sans la moindre limite.Il est malaisé de savoir s'il s'agit vraiment d'une erreur de la part de Facebook ou si l'entreprise revoit son approche suite à l'intervention des médias sur le sujet. Facebook a la réputation de ne résoudre les problèmes de sécurité que s'ils risquent de nuire à son image.C'est ainsi qu'elle ignora en 2017 un avis similaire sur la recherche de numéros de téléphone. Le problème fut certes résolu ultérieurement, mais entre-temps, des cybercriminels avaient pu collecter des tas de données, qui ont ensuite fuité. Des documents internes que Data News a pu visionner, montrent que l'entreprise veut faire passer ce genre de pratique douteuse comme 'normale' et comme quelque chose qui se passe partout et ce, pour protéger sa réputation.Ce type d'outil représente-t-il donc un énorme danger? Non. Suite à la gigantesque fuite de données chez Facebook, des informations personnelles de centaines de millions de personnes ont déjà fuité. L'outil automatise surtout la possibilité de rechercher quelqu'un sur base d'une adresse mail. En même temps, nombreux sont ceux qui possèdent une adresse mail portant leur nom, ce qui fait qu'un lien peut être aisément établi avec leur compte.Mais le fait qu'il reste possible d'effectuer des recherches massives sur Facebook sans aucune limite, constitue un problème auquel le réseau social est confronté depuis des années déjà et qu'il promet de résoudre depuis des années. Très spécifiquement, Facebook déclara en avril 2018 déjà son intention de limiter la recherche sur la base de numéros de téléphone et d'adresses mail. Mais trois ans plus tard, l'entreprise n'a encore et toujours pas mis les choses au point.