Se connecter avec Facebook : le mauvais réflexe

AuthentificationPolitique de sécuritéSécurité

Un récent incident impliquant la fonction « Se connecter avec Facebook » a attisé des flammes déjà bien ardentes, obligeant les cadres de l’entreprise à réagir. Cet incident devrait vous faire réfléchir à votre utilisation de la plateforme à l’avenir.

Départs de responsables ; énorme fuite de données ; problèmes avec les autorités de régulation… 2018 a été une année difficile pour Facebook. Malgré des revenus encore florissants (jusqu’à maintenant) et ses 2,3 milliards d’utilisateurs actifs dans le monde entier, les consommateurs et les régulateurs commencent à se demander si l’entreprise agit toujours dans le meilleur intérêt de ses utilisateurs. 

En septembre dernier, Facebook a ainsi révélé que ses systèmes avaient été la cible d’une attaque qui avait compromis des informations sur les identités numériques de 50 millions de ses utilisateurs. Par la suite, il est apparu que 40 millions d’individus supplémentaires avaient été potentiellement affectés par ce piratage.

La cause de l’incident : une vulnérabilité tirant parti d’une faille au niveau de la fonctionnalité « Aperçu du profil en tant que ». Plus précisément, les éléments exposés étaient des tokens d’accès (Facebook Identity Tokens), des clefs permettant par exemple de rester connectés sur Facebook sur son smartphone, sans avoir à constamment ressaisir son mot de passe. Nous verrons plus tard en quoi cela constitue un énorme problème. 

Mais même avant cette révélation, il était déjà devenu clair que Facebook n’accordait pas toute l’attention nécessaire à la protection des informations de ses utilisateurs. En juillet, l’entreprise admettait avoir permis à 61 entreprises d’accéder aux données de ses utilisateurs sans leur consentement explicite, alors qu’elle avait par le passé empêché de tels accès de façon plus globale. Et bien sûr, avant cela, le scandale Cambridge Analytica, un cabinet d’analyse de données qui a créé des profils d’utilisateurs de Facebook à des fins de ciblage de publicités politiques. 

Facebook, l’ami des données 

Pas loin derrière Google, Facebook est une des sociétés qui collecte le plus de données.
La quantité d’informations dont la plateforme dispose sur ses utilisateurs n’est limitée que par ce que l’on y divulgue – et pour certains, cela inclut énormément de choses. Pour d’autres, le problème va au-delà de l’exposition de leurs propres vies : lorsque de futurs parents partagent des photos d’échographies, cela peut marquer le début de la création d’une empreinte numérique dangereusement riche. Ainsi, les enfants verraient en moyenne plus d’un millier de photos d’eux publiées en ligne avant leurs 13 ans. 

Facebook sait à quoi ses utilisateurs ressemblent (et dans certains cas, alors même qu’ils sont encore dans le ventre de leurs mères), connaît leurs déplacements, sait où ils souhaitent se rendre et où ils sont tout au long de leur trajet. Le réseau social sait ce qu’ils aiment, ce qu’ils n’apprécient pas et ce dont ils discutent. Il sait également quels smartphones ils possèdent, quelles applications ils utilisent, comment, quand et où.
Toutes ces données sont ensuite exploitées pour proposer aux utilisateurs le « meilleur » contenu publicitaire ; par conséquent, celui qui convient le mieux aux préférences des utilisateurs et qui coûte le plus cher aux annonceurs. Une aubaine pour l’entreprise. 

Mais ce n’est pas tout : Facebook a également accès à d’énormes quantités de données sur plus de 2 milliards d’individus, et dispose des ressources nécessaires pour les exploiter. En fait, son modèle économique tout entier est basé sur la monétisation de ces données, et à cet égard, l’entreprise se porte de toute évidence comme un charme. 

Pas de chance, en revanche, pour les utilisateurs dont les comptes (et potentiellement les données) ont été compromis lors du récent piratage. Mais il y a pire, malheureusement. 

Depuis des années, Facebook propose la fonctionnalité « Se connecter avec Facebook » pour simplifier la vie de ses utilisateurs. Des dizaines de milliers de services très populaires comme Airbnb, Uber ou Spotify acceptent ces fichiers d’identification de Facebook (Facebook Identity Tokens) comme alternative à la combinaison identifiant / mot de passe. Pour des consommateurs pressés et dont la capacité de concentration est réduite à seulement 8 secondes, l’intérêt de cette approche est évident. Mais les conséquences sont désormais plus claires. 

Même pour ceux qui n’ont jamais utilisé cette fonctionnalité, le simple fait de posséder un compte sur le réseau social (ce qui a pour effet de générer un de ces fameux fichier d’accès à Facebook) signifie que les pirates pouvaient prendre le contrôle de comptes sur Airbnb, Spotify, Uber… ou sur les dizaines de milliers d’autres services compatibles avec cette fonction. 

Centraliser les tokens d’identité numérique comme l’a fait Facebook pendant des années a toujours été une mauvaise idée. Dès lors, l’important n’était pas de savoir si un problème surviendrait, mais quand.

Utilisez Facebook à vos risques et périls 

Les révélations sur les pratiques du géant de Californie en matière de collecte de données personnelles (et sur le récent piratage dont il a été victime) auront suffi à convaincre certains utilisateurs de quitter Facebook pour de bon, tandis que d’autres auront mis à jour leurs paramètres de confidentialité – ce qui ne résoudra pas le problème de fond. Enfin, certains, bien évidemment, ne changeront rien à leurs habitudes. 

Pourtant, même s’ils ne publient que très peu de contenu sur Facebook, beaucoup ont déjà partagé des détails financiers et de paiement avec d’autres applications. L’entreprise n’est pas un spécialiste de la sécurité, ni même un média social. Facebook ne réalise pas de profit en aidant ses utilisateurs à améliorer leurs vies sociales, mais en exploitant leurs données et en vendant des espaces publicitaires.

Ainsi, sur les 40 milliards de dollars de chiffre d’affaires enregistrés par l’entreprise en 2017, 39,9 provenaient de la publicité digitale. Alors pourquoi les particuliers sont-ils si nombreux à lui donner la clef pour accéder à autant de données personnelles ? Pourquoi faire confiance à Facebook pour conserver les clefs d’autant d’autres comptes en ligne ? 

Par confort, serait-on tenté de répondre. Pourtant, il existe une alternative à la fois pratique et sécurisée – l’idéal, même pour ceux dont la capacité de concentration ne dépasse pas les 8 secondes ! 

Les gestionnaires de mots de passe constituent une solution sécurisée pour stocker une multitude de mots de passe, d’identités numériques et de coordonnées de paiement pour plusieurs applications et comptes. Ces outils remplissent automatiquement ces informations quel que soit l’appareil utilisé. Et surtout, ces données ne sont pas sur Facebook.

Alors que la vulnérabilité du site a été maintes fois démontrée, les gestionnaires de mots de passe offrent la garantie inverse. Chaque compte est conservé à part, et le mot de passe principal du coffre-fort n’est pas conservé en ligne. En effet, les gestionnaires de mots de passe ne centralisent pas d’informations personnelles. 

Tant que Facebook n’aura pas compris qu’il est impossible de sécuriser un système d’identités centralisé tel que « Se connecter avec Facebook », la seule solution pour éviter les conséquences d’un piratage est de fermer son compte. Êtes-vous prêts à le faire ? 

 

Auteur
En savoir plus 
CEO
Dashlane
Emmanuel Schalit est CEO de Dashlane
En savoir plus 

Livres blancs A la Une