Yelp creuse les failles de Facebook

La Rédaction,

Deux failles de sécurité ont été découvertes dans la fonctionnalité « Instant Personalization » chargée de collecter les informations des profils. Facebook avait déjà été interpellé à ce sujet le mois dernier, par des sénateurs américains.

Facebook distribue les informations de ses utilisateurs à trois partenaires triés sur la volet via l’application Instant Personalization. Par deux fois, ces derniers jours, il s’est avéré que ce transfert n’était pas sécurisé.

Les publicités du site Yelp, partenaire privilégié de Facebook, aurait pu révéler les listes d’amis, les adresses e-mail et autres données personnelles des utilisateurs Facebook pour peu que les pirates exploite une technique d’attaque de type Cross Site Scripting (XSS),.

Le trombinoscope américain a vite réagi : Yelp est temporairement suspendu et l’information la plus sensible, l’adresse e-mail, ne sera à l’avenir plus partagée avec ses partenaires. La situation n’en reste pas moins inquiétante.

Le mois dernier déjà, quatre sénateurs américains avaient envoyé une lettre à Mark Zuckerberg pour lui suggérer de mieux respecter la vie privée de ses utilisateurs. Aux yeux des politiques, les membres du réseau social devraient avoir le choix de partager ou non cette information.

Pour l’instant c’est à l’utilisateur d’être attentif et de réagir lorsqu’une bannière, discrète, perdue parmi toutes les informations que lui délivre Facebook, indique que ses données vont êtres données en pâture à autrui. Les sénateurs auraient préférés que le choix par défaut soit de bloquer la plupart des partages. Leurs craintes s’avèrent aujourd’hui justifiées.

Yelp est un autre réseau social, et il utilise les données de Facebook pour mieux cibler sa publicité. Mais les clients de l’entreprise de Mark Zuckerberg doivent normalement obtenir l’autorisation de l’utilisateur pour avoir accès à ses données, souvent en le faisant cliquer sur un bouton « Connect ». Yelp passe par Instant Personalization, un partenariat privilégié avec Facebook qui donne accès aux informations collectées par la plate-forme de réseautage.

Maintenant que l’adresse e-mail n’est plus en cause, seules des informations déjà publiques sont concernées. Mais outre les questions de vie privée, cela soulève des problèmes de sécurité. Toute personne ou programme qui parvient à franchir les sécurités de Yelp accède du même coup aux informations de Facebook.

Notons que ce n’est pas vraiment la faute de Yelp. Les attaques XSS font beaucoup de mal sur Internet. Le souci vient plutôt du principe même de Instant Personalization, qui se passe de l’accord de l’internaute. Des problèmes du même ordre pourraient également concerner les deux autres éditeurs qui exploitent Instant Personalization: Pandora et Microsoft et sa plate-forme Docs.com.