Les données d’utilisateurs ont pu être consultées par des développeurs d’applications suite à une autorisation d’accès abusive.

En avril 2018, après le scandale de Cambridge Analytica, Facebook a procédé à plusieurs modifications sur sa plateforme afin de veiller au respect et à la protection de la vie privée de ses utilisateurs. Or, aujourd’hui, on apprend que l’une de ces modifications n’était pas totalement au point puisqu’elle a permis à des développeurs d’applications d’avoir un accès privilégié aux données des utilisateurs.

C’est sur son blog que le réseau social a révélé la faille. Konstantinos Papamiltiadis, directeur des partenariats de la Facebook, explique qu’une centaine de partenaires de la plateforme ont pu conserver l’accès aux données des utilisateurs via l’API – l’interface de programmation – utilisé par les administrateurs de groupes, malgré le changement de politique.

Ces administrateurs de groupe Facebook ont recours à des outils tiers pour gérer les publications sur leurs groupes. Or, pour utiliser ces outils, les administrateurs doivent fournir des informations sur leurs activités. Jusqu’en avril 2018, les développeurs de ces outils pouvaient avoir accès à ces informations, notamment les noms de membres des groupes, les photos de profil et d’autres données non spécifiées.

Après cette date, l’accès à ces données était supposé être révoqué, sauf que Facebook vient de dévoiler qu’une centaine de développeurs avaient conservé cet accès durant ces 18 derniers mois.

Le réseau social indique également qu’au moins 11 partenaires ont accédé aux données des utilisateurs au cours des 60 derniers jours.

Sur son blog, Facebook tente de minimiser les choses, indiquant qu’il n’y a aucune preuve que ses partenaires ont abusé de leur accès et exploité les données. L’entreprise précise avoir réglé le problème à la source, les développeurs n’ont plus d’accès. Ces derniers ont été invités à supprimer toute information obtenue de manière inappropriée. Facebook affirme qu’il réalisera des audits pour vérifier que cela a bien été fait.

Si le réseau social tente de jouer la transparence, il ne communique en réalité que très peu d’informations. Qui sont les 100 développeurs d’application qui ont eu accès à ces données ? En dehors des noms et photos de profil, ont-ils eu accès à d’autres données ? Combien d’utilisateurs sont concernés par ce problème ?