Facebook : un bug a permis aux développeurs d’accéder aux photos non partagées de 6,8 millions d’utilisateurs

Mickaël Bazoge |

Facebook a découvert un bug qui a permis à des applications tierces d’accéder aux photos privées de près de 7 millions d’utilisateurs. Ce bug a concerné l’API Photo dont les développeurs se servent pour piocher dans les photos d’un utilisateur de Facebook (avec son autorisation).

Du 13 au 25 septembre, Facebook a relevé que plus de 1 500 applications provenant de 876 développeurs ont pu obtenir l’accès à des photos qui leur sont habituellement interdites. Cela peuvent être des images téléversées sur le réseau mais non publiées volontairement ou simplement par oubli (Facebook conserve une copie des clichés pour que l’utilisateur puisse remettre la main dessus quand il se reconnecte). Ou encore des photos partagées sur le Marketplace ou dans une Story.

Ce sont 6,8 millions d’utilisateurs qui sont donc concernés par ce bug ; ils recevront une notification les envoyant sur cette note du site support de Facebook. L’entreprise demande actuellement aux développeurs de supprimer ces photos, ils recevront des outils afin de déterminer les personnes utilisant leurs apps qui pourraient être victimes du bug.

« Veuillez nous excuser pour la gêne occasionnée », écrit un Facebook contrit qui n’en est pas, loin s’en faut, à sa première légèreté dans ce domaine. En octobre, ce sont 30 millions de comptes qui avaient été touchés par une vulnérabilité.

avatar a_y | 

« Veuillez nous excuser pour la gêne occasionnée »

???

avatar Rodri31 | 

@a_y

Putin j’ai lu ça j’ai rigolé on dirait la RATP qui annonce un incident technique. ?

avatar bonnepoire | 

Tous ces ploucs que ça n’a pas l’air de déranger... ça fait peur...

avatar pagaupa | 

Bravo! Quelle merde ce facebook!

avatar fte | 

Bah, même pas 7 mio. 1 compte sur 500 ? Broutille. Une paille.

?‍♂️

avatar newiphone76 | 

Décidément !!!

avatar magic.ludovic | 

Tout utilisateur de Facebook et compagnie, doit être conscient que ses images et commentaires sont publique ( même si à la base ce n'est pas souhaité ) ...

avatar oomu | 

Oui

La fonction (de partage à tous) existe (elle est écrite dans le code), elle peut donc être abusée.

Le but de Facebook est de partager les données (pour les valoriser, pour créer des réseaux de contacts, des analyses de données et vendre tout cela à d’autres sociétés ou personnes motivées d’en savoir plus sur tous), on ne peut donc pas s’attendre à ce qu’elle protége efficacement l’intimité de ses utilisateurs.

En clair: je n’ai pas de compte Facebook (ou tout autre service/entreprise similaire) parce que depuis le premier jour de l’ouverture de Facebook je ne pouvais pas leur exiger le contraire de leur but. (Et leur but ne m’intéresse pas.)

C’est comme si j’en voulais à MACg de privilégier le MAC à la place de Windows. C’est le fondement même de MACg (mais ici ça s’aligne avec mon intérêt propre).

avatar guiom2510 | 

Non mais quand est ce qu’une autorité va sérieusement se pencher sur cette société et les mettre face à leurs responsabilités ??! Un « bug » , on croit rêver. Quel événement va t’il falloir pour que ca bouge ? La manipulation d’électeurs visiblement ca suffit pas... un génocide ?

avatar oomu | 

N’utilisez pas les outils qui sont sources d’angoisses.

avatar gela | 

@guiom2510

Quand ? Jamais. C'est des trucs de riches. Ça ne regarde pas la population normale.

avatar lmouillart | 

Vint Cerf, "It will be increasingly difficult for us to achieve #privacy. Privacy may be an anomaly"
Ce qui est juste. Sécurisés ou non tôt ou tard vos données seront publiques : https://twitter.com/KatyontheHill/status/402839522859577345

C'est principalement une question de temps (qui va être très significativement réduit avec les ordinateurs quantiques) et d’intérêt (combien seriez-vous prêt à payer pour que cela ne se sache / diffuse pas ?) VS charge de travail nécessaire. Une chose est certaine cette barrière autrefois quasi infranchissable s'amenuise de plus en plus.

On retiendra donc la célèbre et terrifiante phrase d'Eric Schmidt,
"If you have something that you don't want anyone to know, maybe you shouldn't be doing it in the first place" : https://www.theregister.co.uk/2009/12/07/schmidt_on_privacy/

avatar oomu | 

Vos données ne sont pas sécurisées dans une entreprise dont l’intérêt est de partager à tout le monde qui paie.

Le code qui contient la fonctionnalité de partager ne peut pas être sécurisé contre lui même.

-
Bien sûr que la vie privée est possible : en n’utilisant pas les logiciels et entreprises conçues pour répandre aux quatre vents.

avatar lmouillart | 

" Bien sûr que la vie privée est possible : en n’utilisant pas les logiciels et entreprises conçues pour répandre aux quatre vents."
Je ne suis pas convaincu. Tôt ou tard il y a des fuites, des attaques, des vols.
Idem si vous sortez dans n'importe quelle ville même moyenne : vidéo surveillance, bientôt la vidéo verbalisation, ...

Je préfère me faire à l'idée que plus rien n'est/ne sera privée, c'est moins stressant.

avatar fte | 

@lmouillart

"Je ne suis pas convaincu. Tôt ou tard il y a des fuites, des attaques, des vols."

Donc, en suivant le même raisonnement, il ne peut pas y avoir de sécurité puisqu'il y a des attaques, tôt ou tard. Abandon la police, elle est inutile. Il ne peut y avoir de propriété puisqu'il y a des vols. Il ne peut y avoir de vie privée puisqu'il y a des fuites. Il ne peut y avoir de sécheresse puisqu'il pleut.

Il y a un minuscule facteur à prendre en compte : la fréquence de ces événements. Une goutte de pluie tous les 10 ans ne va pas mouiller le désert.

avatar lmouillart | 

Les données peuvent circuler d'un pays à un autre. Être dans un pays bien plus coulant en termes d'accès illégal aux données peut très bien protéger.

La fréquence des évènements est liée aux problématiques calculatoires de déchiffrement. Rendre trivial le déchiffrement va favoriser l'accès aux données.

Une fois les données privées rendues publiques alors elles le seront pour toujours. CF les machinsleaks.

Tous les objets connectés, équipés de micro, caméra, sont tout autant de petits espions potentiels (déjà quand ils sont sécurisés), alors que dire ceux qui ne verront jamais de près ou de loin un correctif de sécurité.

Non je le redis la vie privée, c'est un vieux concept en voie de disparition.

avatar fte | 

@lmouillart

Je n'avais pas compris que tu travaillais pour Facebook, désolé.

Heureusement que tu as tord.

avatar Zara2stra (non vérifié) | 

@lmouillart
Rarement vu une personne aussi stupide que vous.

avatar lmouillart | 

Pourtant ce discourt n'est pas le mien, mais de l'un des créateurs du réseau internet à savoir : Vint Cerf, et je ne fais que partager et être en accord avec son avis.

Regardez donc un peu l'évolution du monde, chaque personne qui va avoir un comportement remarquable (en bien, en mal) finira filmée et sur les RS. => Réduction de la vie privée, absence du droit à l'image. D'autant plus que dans les rues circulent de nombreuses nationalités dont les droits ne sont pas forcément les mêmes que le pays de prise d'information : audio/vidéo/photo. => impossibilité donc de faire disparaitre une information. Par exemple le droit à l'oubli européen fonctionne uniquement en Europe pas ailleurs. Suffit de sortir de l'Europe pour ne plus y être soumis. Les informations restent donc présentes pour toujours.

Vous pensez maitriser ce qui se passe sur vos terminaux ? Même Apple qui conçoit ses machines n'y arrive pas par exemple avec les CPU Intel et la fonction Intel ME : https://itsfoss.com/fact-intel-minix-case/

Les failles, backdoors sont légions. Les caméras, micro connecté présent partout : déjà au moins dans chaque smartphone, donc dans 2-3 milliards de terminaux, rien que ça ! Reste les TV, les systèmes de surveillances, etc ...

Vos photos, vidéos, et tous fichiers privés circulent souvent faiblement chiffrés -> ils sont déchiffrables parfois simplement. Pour les méthodes de chiffrages plus complexes, avec les ordinateurs quantiques comme dit plus haut, cela va devenir trivial pour les 10ène de milliards d'appareils existant : https://securityintelligence.com/preparing-next-era-computing-quantum-safe-cryptography/

avatar fte | 

@lmouillart

"Je préfère me faire à l'idée que plus rien n'est/ne sera privée, c'est moins stressant."

Le travail est stressant. As-tu renoncé à travailler aussi ?

avatar bidibout (non vérifié) | 

Un bug... perso j'appelle ça une faille !

avatar oomu | 

Un bug ? J’appelle ça un model business.

-
«  le jour où j’ai valorisé vos photos intimes en les balançant abusivement à mes valued partners fut le jour le plus important de votre vie. Mais pour moi c’était mardi. »

avatar Zara2stra (non vérifié) | 

« le jour où j’ai valorisé vos photos intimes en les balançant abusivement à mes valued partners fut le jour le plus important de votre vie. Mais pour moi c’était mardi. »
--> ?????????

avatar corben | 

De toute façon dès qu’on poste du contenu sur internet il n’y a plus rien de privé

avatar Ielvin | 

@corben
Parlera t on de public volontaire et de public involontaire ? :D

avatar IPICH | 

J'adore y'a encore des gens sur Facebook alors que presque chaque mois et surtout chaque année il y a des scandales.

avatar fredsoo | 

Et y a toujours du monde là dessus...

avatar ataredg | 

C'est clair que Facebook est devenu un problème. Sans compter le niveau de débilité de certains groupes et le niveau d'orthographe ('ptdr', 'sa va',...). J'ai l'impression que c'est entrain de devenir un réseau d'asocial.

CONNEXION UTILISATEUR