Sécurité : Facebook soupçonné de phishing sur les nouveaux utilisateurs
C'est un expert en sécurité informatique qui se fait appeler e-sushi qui a levé le lièvre.
Dans certains cas, lorsque vous créez un compte Facebook en utilisant une adresse e-mail, le réseau social demande de saisir le mot de passe de ce compte.
L'argument : vérifier l'identité du nouveau membre en expliquant que cette démarche peut être faite de façon automatique à partir de la messagerie.
Cette pratique s'apparente à du phishing de la part de Facebook.
Pire encore, selon Business Insider, le réseau social profite de l'opération pour dérober l'ensemble des contacts de l'utilisateur sur son compte e-mail.
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
A aucun moment le consentement de l'utilisateur est demandé.
C'est sous la pression de plusieurs articles de presse que Facebook a fini par réagir. Le réseau social a expliqué que ce procédé n'allait désormais plus être exploité, tout en précisant qu'il n'enregistre pas les mots de passe en question.
Dans cette affaire, seuls certains fournisseurs de messagerie e-mail étaient concernés. C'est notamment le cas de Yandex et de GMX.
Cette nouvelle affaire éclaire la légèreté, pour le moins, avec laquelle le réseau social manipule les données de ses utilisateurs. Il y a quelques jours, Facebook avait reconnu que des millions de mots de passe de ses membres avaient été stockés sans chiffrement. Près de 20 000 de ses employés y avaient accès.
C'est Brian Kreps, un expert indépendant en sécurité, qui avait révélé le scandale .
Evoquant un bug dans la phase de chiffrement, Facebook avait nié tout acte acte de malveillance et corrigé la « faille ».
Lire aussi : La GenAI s'affirme dans les stratégies data
Cette bourde, qui relève quasiment de l'amateurisme, a essentiellement touché les utilisateurs de Facebook Lite qui se comptent tout de même par « centaines de millions », mais le réseau social reconnaît que des « dizaines de millions » d'utilisateurs de Facebook et même des abonnés à Instagram sont concernés par cette absence de chiffrement.
Sur le même thème
Voir tous les articles Cybersécurité