Les utilisateurs Facebook peuvent craindre le pire. Facebook vient d’autoriser dans un update de l’API social graph un accès aux développeurs aux données personnelles des utilisateurs Facebook. Le téléphone de l’internaute ainsi que sont adresse complète seront désormais accessibles aux sociétés développant des applications. Ces données sont en accès libre dès que l’utilisateur Facebook a cliqué sur le bouton “autoriser l’accès” lorsque la fenêtre de permission s’ouvre lors de l’accès à une application. Cette info n’a pas été diffusée aux utilisateurs, mais seulement aux développeurs sur le blog dédié. Les développeurs n’ont pas à être pré approuvés par Facebook, toutes les sociétés peuvent donc développer des applications permettant de collecter des données.
Si Facebook a “pris soin” de créer deux nouvelles permissions “user_address” et “user_mobile_phone”, il va sans dire que cette fenêtre de permission n’est, par habitude, quasiment jamais lue par les utilisateurs, surtout lorsque l’application est recommandée par un ami. Dès qu’un utilisateur clique sur le bouton, les données sont transmises dans l’API social graph, et peuvent être ainsi récupérées par les marketeurs. S’il existait des moyens ou “astuces” parfois peu recommandables pour récupérer ce type d’info, Facebook fait ici un bond dans le sens des sociétés partenaires ou développeurs d’applications.
Une simple ligne de commande (script sur connect.facebook) permettra de demander l’accès puis de récupérer les données via l’API graph.
Cette nouveauté devrait sans doute engendrer un mécontentement total chez les utilisateur du réseau social, même si Facebook a pour l’instant pris soin de dévoiler cette fonctionnalité en catimini, sur son blog dédié aux développeurs, et sans en informer préalablement ses 600 millions d’utilisateurs. Il permet à n’importe quelle société de développer des applications dédiées au marketing, local par exemple, sans modifier pour autant les conditions d’utilisation. Côté entreprises, les développeurs devraient se ruer sur cette fonctionnalité, apportant en plus des données classiques un potentiel d’exploration des données presque sans limite.
D’autre part, il est important de comprendre que les applications Facebook ne sont que peu sécurisées. Wecho effectue des veilles sur la sécurité et le bouton “autoriser” est aujourd’hui la source principale de failles de sécurité qui permettent de transmettre de façon virale les liens vers les applications. Certaines applications ont ainsi des boutons cachés, et se retrouvent avec des centaines de milliers de fausses recommandations virales. Le même type de faille avec cette nouvelle fonctionnalité serait désastreuse et permettrait de collecter des données à l’insu de l’utilisateur. NB: ces failles sont connues de tous les développeurs Black Hat et sont présentes dans de nombreuses applis, y compris sur FB France aujourd’hui.
[update]: Sophos, l’éditeur de logiciels de sécurité, vient d’aller dans le même sens en indiquant à l’instant que la fonctionnalité augmentait le niveau de danger et invite ses utilisateurs à “supprimer ses données adresses et téléphone du réseau social immédiatement”.
Facebook vient, selon nous, de rompre le dernier maillon de la chaine de l’anonymat sur le réseau social. Sans même s’en être réellement rendu compte, les utilisateurs Facebook seront bientôt envahis de SMS et de nouveaux mailing papier personnalisés dans leur boite à lettre. A moins de faire vraiment attention lorsque vous ouvrez une fenêtre Facebook. La société précise simplement que les développeurs n’auront pas accès aux coordonnées “de vos amis” (sic).
Comme le recommande sagement @FredCavazza “Dans tous les cas de figure : ne mettez pas sur internet vos données perso”.
Source: blog développeur FB http://developers.facebook.com/blog/post/446
Les Chroniques du [CyberKabyle].
Aucun commentaire:
Enregistrer un commentaire