Quand j’ai découvert cette histoire de Champion de la Terre ce matin, j’ai bien rigolé. Toutefois, j’en connais un autre de Champion de la Terre. Et celui-ci ne s’attaque pas à la nature et à notre futur, mais plutôt à nos données personnelles.
En effet, des chercheurs des Universités de Northeastern et de Princetown ont réussi à prouver que les numéros de téléphone fournis par les utilisateurs Facebook dans le cadre d’une sécurisation à doubles facteurs (2FA) de leur compte, étaient aussi exploités pour leur envoyer de la pub ciblée.
L’authentification multi facteurs, qu’elle soit effectuée via l’envoi d’un code par SMS, ou via une application spécifique (comme Authenticator) est indispensable aujourd’hui pour sécuriser correctement son compte. J’ai déjà par le passé expliqué qu’il fallait mieux choisir d’activer un 2FA via une application que via SMS, car les SMS peuvent être détournés, mais c’est toujours mieux que rien.
Dans tous les cas, pour activer le 2FA, Facebook vous demande un numéro de téléphone. Et le fait qu’ils l’utilisent a des fins marketing est ultra moche. Tout d’abord, ils ne préviennent pas (Coucou le RGPD !). Ensuite, c’est clairement forcer la main aux gens qui ne souhaitent pas communiquer leur numéro de téléphone.
Mais surtout, au-delà de tous ces aspects relatifs au non-respect de la vie privée, cela envoie un très très mauvais signal aux internautes, qui vont associer l’authentification double facteur à quelque chose de néfaste pour leur vie privée… Et ainsi, ils ne l’activeront pas ou pire, iront la désactiver.
Et ça, ça fait du mal à la sécurité. Car comme pour la santé, quand on se protège, on protège aussi les autres. Si votre ami(e) Facebook a bien sécurisé son compte, un attaquant qui le cible n’accèdera pas à ses données, ni aux messages privés et aux photos que vous lui avez envoyés. Mais si ce n’est pas le cas, il se met en danger et vous met vous aussi en danger de manière indirecte.
Pour pas mal de gens non familiers avec la technologie, l’authentification multi facteurs est déjà un peu complexe à appréhender et à mettre en œuvre. Alors si en plus, Facebook exploite ces données commercialement, je vous laisse imaginer le retard d’adoption qu’on va se prendre dans la gueule.
Bref, c’est un sale coup qu’a fait Facebook ici.
Pire, vous n’en avez pas conscience non plus, mais les chercheurs cités plus haut ont réussi aussi à prouver que si l’un de vos amis partageait son carnet de contacts avec l’application Facebook, l’entreprise américaine était capable de retrouver votre numéro de téléphone jamais encore communiqué, puis de l’associer à votre profil et de s’en servir pour vous balancer de la publicité ciblée.
La technique n’est pas nouvelle et l’application TrueCaller faisait déjà cela. Mais cette fois, c’est officiel, Facebook le fait aussi. Et dans ce cas présent, ce n’est mentionné nulle part non plus… (Re-coucou le RGPD).
Bref, c’est bien triste. Alors pour vous consoler, sachez que ce dimanche, une tête brûlée chinoise va streamer en live sur Facebook (sic), sa tentative de suppression du compte Facebook de Mark Zuckerberg. Le mec ne se présente pas comme un cybercriminel, mais comme un type qui s’ennuie et qui cherche à se faire de l’argent. Il est déjà passé à la TV locale chinoise pour discuter de ses exploits et s’est retrouvé en procès pour avoir truandé une compagnie de bus en trouvant une méthode pour acheter des tickets pas chers…
Bref, je ne cautionne pas cela, je vous rassure. Je ne pense pas qu’il réussira. Je ne suis même pas certain qu’il pourra streamer sa tentative. Et s’il réussit je ne donne pas cher de sa peau. Mais si vous voulez suivre l’histoire, ce sera ce dimanche à 12h ici.
Espérons juste que Mark ait pensé à activer le 2FA sur son compte.