Une faille de Facebook a permis à 5 000 développeurs de collecter des données personnelles d'utilisateurs

Facebook a admis avoir accidentellement partagé certaines données personnelles d’utilisateurs avec environ 5 000 développeurs d’applications même après la période de coupure de 90 jours.

Pour ceux qui ne le savent pas, suite au scandale de l’application Cambridge Analytica en 2018 qui a vu les données personnelles de 87 millions d’utilisateurs de Facebook compromises, le géant des réseaux sociaux a établi la politique de verrouillage de 90 jours ci-dessous qui bloquerait les développeurs d’applications tiers d’accéder aux données des utilisateurs si l’application n’a pas été utilisée par l’utilisateur pendant 90 jours.

La période d’expiration pour l’accès aux données est de 90 jours, basée sur la dernière activité de l’utilisateur. Lorsque cette période de 90 jours expire, l’utilisateur peut toujours accéder à votre application — c’est-à-dire qu’il est toujours authentifié — mais votre application ne peut pas accéder à ses données. Pour retrouver l’accès aux données, votre application doit demander à l’utilisateur de réautoriser les autorisations de votre application.

Mercredi, Facebook a expliqué qu’une faille dans la façon dont il enregistrait l’inactivité a permis à environ 5 000 développeurs de collecter des données des profils d’utilisateurs même après que leur limite de 90 jours pour accéder aux données ait expiré.

« Récemment, nous avons découvert que dans certains cas, les applications continuaient à recevoir les données que les gens avaient précédemment autorisées, même s’il semblait qu’ils n’avaient pas utilisé l’application au cours des 90 derniers jours », a admis Facebook dans un article de blog.

« Par exemple, cela pourrait se produire si quelqu’un utilisait une application de fitness pour inviter ses amis de sa ville natale à une séance d’entraînement, mais nous n’avons pas reconnu que certains de ses amis étaient inactifs depuis plusieurs mois.

« D’après les données des derniers mois que nous avons à disposition, nous estimons actuellement que ce problème a permis à environ 5 000 développeurs de continuer à recevoir des informations – par exemple, la langue ou le sexe – au-delà de 90 jours d’inactivité reconnus par nos systèmes. »

Facebook a déclaré que le problème avait depuis été corrigé après sa découverte, et qu’il continuera à enquêter et à donner la priorité à la transparence concernant toute mise à jour majeure. Il n’a pas mentionné combien d’utilisateurs ont été impactés.

Un représentant de l’entreprise a déclaré : « Nous n’avons pas vu de preuves que ce problème a entraîné le partage d’informations qui étaient incohérentes avec les autorisations que les gens ont données lorsqu’ils se sont connectés en utilisant Facebook. »

Dans le même article de blog, Facebook a également annoncé avoir simplifié ses conditions de plateforme et ses politiques pour les développeurs afin de fournir aux développeurs des conseils plus clairs concernant l’utilisation et le partage des données et « garantir que les entreprises et les développeurs comprennent clairement leur responsabilité de protéger les données et de respecter la vie privée des personnes lorsqu’ils utilisent notre plateforme. »

Il a également ajouté : « Ces nouveaux termes limitent les informations que les développeurs peuvent partager avec des tiers sans le consentement explicite des personnes. Ils renforcent également les exigences en matière de sécurité des données et clarifient quand les développeurs doivent supprimer les données. Ces changements ne sont qu’une partie des moyens par lesquels nous améliorons notre plateforme et créons des expériences plus fiables pour les personnes utilisant des applications sur Facebook.