Selon Symantec, des annonceurs publicitaires ont eu accès, par erreur, aux données personnelles des membres du réseau social Facebook. La cause : un bug de programmation qui a affecté le site. Les détails de cette affaire, publiés hier sur le site de l'éditeur de logiciels de sécurité, indiquent que le bug aurait pu avoir affecté près de 100 000 applications Facebook depuis des années. Symantec indique que certaines applications Facebook ont été diffusées par inadvertance auprès des annonceurs via des « tokens », des séries de chiffres et de lettres pouvant être utilisés par un navigateur pour accéder à des comptes Facebook sur le web. Ces tokens sont comme des autorisations accordées par l'utilisateur pour accéder à des applications Facebook, a précisé le spécialiste de la sécurité dans un billet de blog. Chaque token est associé à un ensemble restreint d'autorisations, comme la lecture du mur, l'accès au profil d'un ami, les messages postés sur le mur, etc. Les utilisateurs du réseau social ont l'habitude d'accorder ce type d'accès aux applications Facebook pour pouvoir, par exemple, écrire sur leur mur. Mais, en remettant accidentellement les tokens à d'autres, les développeurs ont donné aux annonceurs et aux sociétés d'analyse en ligne un moyen d'obtenir également ces données. «Nous estimons qu'au fil des années, des centaines de milliers d'applications ont pu laisser fuiter ces clés d'accès à des tierces parties par inadvertance», a déclaré un responsable de Symantec. «Les tokens ont été diffusés dans les URL de renvoi que les applications Facebook ont transmises aux annonceurs publicitaires et à d'autres», a- t-il ajouté «Cette fuite n'aurait pas dû avoir lieu». Facebook a ouvert son réseau social aux développeurs en 2007 et ces derniers ont été la clé du succès phénoménal du site. Mais les experts en sécurité estiment que ses membres devraient prendre soin de n'autoriser l'accès qu'aux applications Facebook qu'ils veulent vraiment utiliser. Symantec s'est toutefois montré rassurant, en indiquant qu'il n'était pas certain que quelqu'un ait réalisé que ce problème existait, et qu'il était donc possible que personne n'ait profité du bug pour fouiner dans les données des utilisateurs. De son côté, Facebook a résolu l'incident, mais Symantec considère que le gros problème pour les utilisateurs réside dans le fait que ces tokens peuvent encore être en circulation, stockés dans des fichiers log du serveur ou dans d'autres endroits sur le web. L'un de ces tokens va continuer à travailler jusqu'à ce que l'utilisateur modifie son mot de passe Facebook, a prévenu Symantec. C'est pourquoi l'éditeur recommande aux utilisateurs concernés de modifier leurs mots de passe Facebook, afin de « changer la serrure » de leur compte. Le spécialiste de la sécurité a également précisé que le problème n'affectait pas les applications Facebook qui utilisent le système d'authentification OAUTH2.0.
