Vendredi soir, Facebook annonçait en catimini, avoir découvert une faille de sécurité. Lorsqu'un utilisateur télécharge ses données personnelles accessibles sur le site avec l'outil DYI, il peut obtenir des informations de contact telles que numéro de téléphone ou adresse d'amis qu'il ne possédait pas.

Comment cela est-ce possible? Selon Sophos, l'erreur vient des utilisateurs eux-mêmes, sans qu'ils en soient réellement conscients. Le réseau social demande, lors de l'inscription, puis à intervalle régulier, à l'utilisateur s'il souhaite importer son carnet d'adresse. Les adresses mail ainsi téléchargées sont recoupées avec des profils existants afin de suggérer des amis. Mais outre les e-mails, parfois des numéros de téléphone ou des adresses postales sont ainsi attribués à des profils qui avaient pourtant renoncé à dévoiler cette information.

Profil anonyme "outé"

Il suffit ensuite qu'une deuxième personne s'inscrive, cette fois avec des informations sur le lieu de travail ou les loisirs de ses contacts pour que l'image d'un profil au départ anonyme soit complète.

Cela expliquerait pourquoi, au moment de télécharger leurs informations personnelles, certains utilisateurs ont eu la surprise d'obtenir des numéros de téléphone de contacts amis qui n'était pas accessible sur leur page personnelle. 6 millions de comptes ont ainsi été défrichés. C'est un utilisateur qui, constatant la faille, a prévenu Facebook. L'entreprise affirme n'avoir enregistré aucun acte de malveillance ni plainte.

Cette faille remet en cause l'utilisation du réseau social en entreprise, aux vues des informations dévoilées, selon Sophos. Elle pourrait à nouveau être interdite en milieu professionnel.