Selon un expert en sécurité, la décision prise par Facebook de mettre les adresses et numéros de téléphone des utilisateurs à la disposition des développeurs d'applications tierces pour Facebook risque fort d'être exploitée par des escrocs de l'Internet « à des fins criminelles ».
(MAJ*) Expliquant sa décision
dans un billet de blog, Facebook précise que les développeurs d'applications seront en mesure d'accéder aux informations de contact seulement si l'utilisateur l'y autorise. Le site de réseau social ajoute par ailleurs avoir créé de nouveaux paramètres d'autorisation pour permettre ce transfert. Il souligne également que « l'accès et l'utilisation de ces données est régie par les règles régissant la plateforme. » En l'occurrence, le volet n°3 stipule « une politique de confidentialité qui impose d'avertir les utilisateurs sur la nature des données personnelles utilisées et comment celles-ci seront exploitées, rendues publiques, partagées, ou échangées. » La règle 6 interdit aux développeurs « de transférer directement ou indirectement des données émanant du réseau social, y compris les données utilisateur ou les ID utilisateur de Facebook, à une régie publicitaire, des plateformes d'échange, un courtier en informations, ou vers des systèmes connexes impliquant une publicité ou une monétisation, même dans le cas où l'utilisateur consent à un tel transfert ou à un tel usage. »
Une menace réelleMais pour Graham Cluley, expert en sécurité chez Sophos, ce choix « pourrait accroître le niveau d'exposition des utilisateurs de Facebook. » Celui-ci rappelle que les cybercriminels ont déjà fait leurs preuves et montré leur capacité à tromper les victimes pour récolter des informations personnelles sensibles. « Il va devenir plus facile que jamais pour des développeurs d'applications inconnus de recueillir encore plus d'informations personnelles sur les utilisateurs. On peut imaginer, par exemple, que des individus mal intentionnés mettent en place une application malveillante uniquement pour récolter des numéros de téléphone mobile afin de les utiliser ensuite pour du spamming par SMS ou de vendre ces données à des entreprises pour du cold calling (ou appels à froid), » écrit l'expert de Sophos. « La possibilité d'accéder à ce type de données personnelles accroit les risques de vol d'identité, » conclut-il.
*Dernière minute : Facebook a décidé de suspendre la délivrance des données personnelles (adresse postale et coordonnée téléphonique) à l'attention des développeurs. Le site de réseau social souhaite réfléchir pour mieux communiquer auprès des utilisateurs et améliorer les boîtes de dialogue invitant à partager leurs informations privées.