En fin de semaine dernière, Facebook a révélé l’existence d’un bug de son API qui a pu exposer les photos de 6,8 millions d’utilisateurs, entre le 13 et 25 septembre 2018. Deux experts réagissent à ce nouvel incident de sécurité.
Dvir Shapira, Director, Imperva
Ce bug se trouvait dans les interfaces de programmation d’applications, ou API, de Facebook, qui peuvent fournir une passerelle directe vers les informations sensibles des clients sans vérifier qui accède aux données. Ce type de menace est une préoccupation croissante pour bon nombre d’entreprises qui développent de plus en plus d’applications orientées client. En fait, une récente enquête sur la sécurité des API a révélé qu’en moyenne, les entreprises gèrent 363 API différentes et que 69 % des entreprises exposent les API au public et à leurs partenaires.
Comme nous l’avons vu au cours de l’année écoulée, les API sont particulièrement vulnérables aux erreurs de codage de sécurité des applications tierces. D’ailleurs, pas plus tard que la semaine dernière, Google a révélé un problème de sécurité API dans Google+, et nous devrions nous attendre à voir plus d’incidents de ce type se produire au cours de l’année à venir. Bien que l’ampleur de ce problème d’API spécifique soit mineur en comparaison à celui de Google+, la quantité de renseignements personnels que Facebook détient en fait toujours une préoccupation importante.
Rappelons que la plupart des entreprises ne sont pas Facebook ou Google, qui ont investi des millions de dollars et s’appuient sur d’innombrables développeurs d’outils de sécurité API à utiliser en interne pour protéger leurs API (et même ceux-ci ne sont pas parfaits, comme on peut le voir dans les deux exemples cités ici). Étant donné que les API sont généralement assez personnalisées et uniques, par opposition aux applications Web, le renforcement de la sécurité des applications Web que nous avons pu constater ces dernières années ne s’est pas répercutée sur les API, et la plupart des API de nos jours (en dehors des géants de la technologie, comme Facebook ou Google) sont complètement exposées.
Espérons que ces nouveaux incidents encouragent les entreprises à prendre la sécurité plus au sérieux, à examiner leurs applications et logiciels de plus près et, surtout, à accorder toujours plus d’importance à la protection de nos données et, espérons-le, à la sensibilisation renforcée à la sécurité API.
Guillaume Garbey, Directeur France de Varonis
Les groupements de consommateurs et les défenseurs de la vie privée ont perdu confiance en Facebook et leurs préoccupations sont tout à fait compréhensibles. Le réseau social prend l’eau de toutes parts ! D’abord Cambridge Analytica et maintenant une API défectueuse qui laisse échapper des millions de photos personnelles (6,8 millions exactement). Tant que les internautes ne changeront pas leurs habitudes, cela se reproduira… Les utilisateurs doivent tout simplement prendre conscience que leurs informations ne sont pas protégées sur les réseaux sociaux. Cela signifie que les informations qui ont été mises en ligne, ont de fortes chances d’avoir été compromises, ou qu’elles le seront un jour. Et que désormais, pour garder des informations privées, il suffit de ne les garder pour soi…
Non seulement Facebook – cela ne vaut pas uniquement pour Facebook – expose les données à des personnes malveillantes, mais le réseau social les expose également aux développeurs d’applications. « Confier » ses données à Facebook, signifie les exposer à toute entreprise utilisant une API Facebook – c’est à dire à un énorme écosystème, qui inclut malheureusement des personnes malveillantes. Cette énième révélation sur Facebook fera probablement progresser les efforts de réforme de la protection de la vie privée, qui sont déjà bien avancées.
Est-ce que cela signifie pour autant que nous ne devrions plus utiliser Facebook et d’autres applications de réseaux sociaux ? Peut-être. Mais la réalité est que si l’on ne se déconnecte pas du réseau, et qu’on ne ferme pas son compte, il y aura toujours des informations personnelles qui seront recueillies et éventuellement divulguées. Quitter Facebook n’empêchera pour autant pas la fuite de ses données…
Si l’on ne souhaite pas que les photos de son téléphone soient rendues publiques, il faut malheureusement prendre beaucoup de dispositions : ne pas connecter son téléphone à iCloud, ne pas avoir l’application Facebook active sur son téléphone, etc. Rappelons toutefois que Facebook n’est pas la cause de tous les risques, le problème vient souvent des applications liées. Sans nécessairement supprimer Facebook, le plus simple tient souvent dans le fait de ne pas publier de contenus.