Le mois dernier, nous apprenions que Facebook avait stocké sur des serveurs internes des centaines de millions de mots de passe en clair d'utilisateurs. Ils étaient accessibles pour des milliers d'employés du groupe de Mark Zuckerberg.

Dans un autre registre qui implique des applications tierces, des chercheurs de la société de cybersécurité UpGuard ont découvert des données d'utilisateurs Facebook accessibles sans protection (pas de mot de passe demandé) sur des serveurs cloud d'Amazon.

Il va sans dire que Facebook interdit le stockage d'informations Facebook dans une base de données publique. C'est pourtant ce qui est arrivé avec des données ne provenant donc pas directement de Facebook, mais de développeurs tiers d'applications intégrées à Facebook.

UpGuard évoque ainsi plus de 540 millions d'enregistrements en rapport avec une entreprise mexicaine dénommée Cultura Colectiva (un éditeur de médias numériques). Quelque 146 Go avec des identifiants Facebook, noms d'utilisateurs, commentaires, réactions, likes et autres.

updguard-donnees-cultura-colectiva
Appartenant à une application tierce du nom de " At The Pool ", un deuxième lot de données exposées était de moindre ampleur. Si UpGuard fait référence à la découverte de 22 000 mots de passe en clair, il s'agirait des mots de passe propres à l'application (qui a cessé ses activités en 2014) et non de comptes Facebook.

Pour " At the Pool ", les données ont été mises hors ligne pendant l'enquête des chercheurs en sécurité. Pour Cultura Colectiva, ils ont prévenu l'intéressé en janvier, mais n'ont pas obtenu de réponse en retour. Puis, c'est Amazon qui a été alerté. C'est hier que l'accès a été sécurisé, quand Bloomberg a pris contact avec Facebook.

Cette (énième) péripétie est comme un boomerang pour Facebook après la vive polémique qui avait découlé de l'affaire Cambridge Analytica et mettant en lumière un problème de sécurité avec des applications tierces.

" Dans chaque cas, la plateforme Facebook a facilité la collecte de données sur les personnes et leur transfert à des tiers qui sont devenus responsables de leur sécurité. La surface de protection des données des utilisateurs Facebook est donc vaste et hétérogène, et la responsabilité de la sécurisation incombe à des millions de développeurs ", commente UpGuard.