Devinez quoi ! Facebook a encore laissé fuiter les données privées de ses membres chez des régies publicitaires qui n'auraient jamais dû mettre la main dessus. L'histoire serait presque comique, à force de répétition, si elle n'aggravait pas une situation déjà préoccupante. Comment un réseau social à 600 millions de profils peut-il se montrer aussi léger en termes de protection de la vie privée ? Tous les trois mois, un nouveau scandale éclate : les tchats deviennent lisibles par n'importe quel «ami» , les infos personnelles tombent toutes seules dans les mains des publicitaires , les numéros de téléphone portable sont servis sur un plateau ... Sans même parler des nouvelles fonctionnalités dont Facebook se vante régulièrement et qui ne permettent, concrètement, que de vaporiser toujours plus d'infos confidentielles aux quatre coins de la Toile.
C'est Symantec, l'éditeur de logiciels antivirus, qui a déniché la dernière faille en date. Droits dans leurs bottes, ils ont commencé par prévenir les responsables de Facebook et attendre que la négligence soit corrigée avant d'en dévoiler les détails au grand public sur leur blog .
Il s'avère que certaines applications Facebook (celles qui utilisent des «iframes» pour s'afficher) fournissent régulièrement et automatiquement aux régies publicitaires des petits bouts de code donnant accès aux profils de leurs utilisateurs. Ces codes sont appelés tokens et fonctionnent, explique Symantec, comme des «clés de rechange» : «les applications peuvent utiliser ces clés pour accomplir certaines interactions avec votre profil. Chaque clé est associé à un petit bouquet de permissions : lire votre mur, voir le profil de vos amis, poster sur votre mur, etc.» Les membres Facebook confient eux-mêmes leurs trousseaux de «clés» aux applications : c'est ce qui se passe quand on clique sur le bouton «autoriser».
Mais Symantec s'est aperçu que les trousseaux, loin de rester dans la poche des applications, pouvaient être transmis à des sociétés tierces -- et notamment les régies pub -- de façon volontaire ou accidentelle. Ce qui n'a pas manqué d'arriver... et ceci depuis quatre ans, puisque la faille était présente dès l'arrivée des premières applications sur le réseau social, en 2007.
«Nous craignons que de nombreux «tokens» soient toujours disponibles dans des fichiers d'archives ou sur les serveurs des publicitaires, qui en font peut-être un usage régulier» , conclut Symantec. Pour y remédier, il suffit de changer sa serrure -- c'est-à-dire son mot de passe Facebook. Tous les «tokens» deviendront alors inutilisables. Une autre possibilité reste bien sûr de fermer son compte Facebook, une bonne fois pour toutes, sans attendre la prochaine faille.