Une enquête du Wall Street Journal révèle, lundi 18 octobre, que bon nombre d'applications Facebook transmettent en tout indiscrétion les
Des pratiques qui posent une nouvelle fois la question de la protection de la vie privée des 500 millions d'utilisateurs du réseau social (17,2 millions en France) et de sa sécurité.
L'enquête du Wall Street Journal pointe que les 10 applications les plus populaires sur Facebook ont déjà transmis les identifiants de leurs utilisateurs "à des entreprises extérieures". Parmi les applications citées, on retrouve les célèbres Farmville (59 millions d'utilisateurs), Texas Hold'em Poker, Mafia Wars et FrontierVille, de la société Zynga.
La plupart des applications transmettent les identifiants Facebook à des publicitaires qui parfois créent "des profils de suivi des activités en ligne des internautes". "Ces pratiques enfreignent les règles de Facebook, et renouvellent les questions sur sa capacité à conserver des informations" sur ses utilisateurs, interroge le quotidien qui appelle ainsi Facebook à "faire la lumière" sur ce phénomène pour les 550.000 applications disponibles.
"Récupérer les données personnelles des utilisateurs"
Une partie de la popularité de Facebook tient aux (très) nombreuses applications. Mais ces applications sont aussi la principale menace en matière de sécurité pour le réseau social.
Un consultant en sécurité informatique de la société Wargan, John Jean, a ainsi découvert "comment récupérer toutes les données personnelles des utilisateurs de Facebook" via des applications. Il explique à Nouvelobs.com avoir découvert "des failles de sécurité" qui permettent d'"injecter du code HTML [afin] de prendre la main sur toutes les données des internautes".
"J'ai inclus ces failles dans une application Facebook. Si un internaute la lance, je peux récupérer toutes ses informations personnelles, ses photos, le contenu de son mur, ses messages personnels, son mot de passe et le modifier...", raconte le consultant, également directeur de production chez Rentabiliweb.
"L'attaque fonctionne comme un virus", poursuit John Jean. "Grâce à l'application, le virus se propage de manière exponentielle en postant un lien sur le mur de l'internaute touché, en envoyant des messages privés à tous ses amis, etc. S'assure ainsi la réplication du ver."
"Il ne faut cliquer que sur les applications de confiance"
Ces failles illustrent le danger que peuvent représenter les applications Facebook. Un éditeur peu scrupuleux peut ainsi récupérer toutes les données personnelles d'un utilisateur de Facebook, voir "corrompre son ordinateur et déployer des logiciels malveillants", ajoute John Jean. Il précise que si "les applications ne sont pas des failles à proprement parler, elles permettent d'exploiter très facilement des vulnérabilités".
Le consultant explique que pour se prémunir des risques, "il ne faut cliquer que sur les applications de confiance, c'est-à-dire réalisées par des éditeurs sérieux".
"La question qui se pose aujourd'hui tient essentiellement du bon sens", tranche Laurent Heslault, directeur des technologies de sécurité chez Symantec et expert en cybercriminalité. "Sur Internet, quand c'est trop beau pour être honnête, c'est trop beau pour être honnête. L'e-philanthropie n'est pas si répandue...", souligne-t-il. Derrière chaque application Facebook présentée (et vantée) comme gratuite, il y a "un aspect mercantile".
"Le problème qui se pose avec les applications Facebook, c'est lorsque la naïveté de l'internaute est exploitée par des personnes malveillantes, notamment avec les URL raccourcies", pointe Laurent Heslault. "Avec 500 millions de comptes, Facebook attise les convoitises des pirates et il y a un jour où forcément quelqu'un arrivera à entrer."
Toutefois, si, pour l'heure, les informations issues de Facebook sont souvent liées à la vie privée, "qu'adviendra-t-il lorsque les identifiants Facebook serviront à se connecter à son compte en banque ?", interroge le responsable chez Symantec. "Le prochain grand chantier concernera l'identification de l'internaute et la notion de validité. Le binôme identifiant/mot de passe est-il suffisant ?", conclut-il.
(Boris Manenti - Nouvelobs.com)
Authors: Nouvel Obs