Deux applications tierces oeuvrant dans le réseau social Facebook sont à l'origine de l'exposition de 540 millions de dossiers et environ 22 000 mots de passe publiquement sur internet, affirment les chercheurs en sécurité informatique de la firme UpGuard.

La première fuite, celle de 540 millions de dossiers, provient d'une compagnie mexicaine appelée Cultura Colectiva. Les dossiers non protégés, visibles pour le grand public, pèsent 146 Go. Ils contiennent les commentaires, réactions, noms d'utilisateurs, identifiants Facebook et plus encore, ce qui n'est pas sans rappeler le scandale Cambridge Analytica, estime UpGuard.

La deuxième, provenant d'une application qui s'appelait «At the pool», a permis la divulgation d'environ 22 000 mots de passe Facebook directement sur les serveurs du géant Amazon. Cependant, cette application a cessé ses activités en 2014. Il est donc possible que ces mots de passe aient tous été changés depuis, mais pas nécessairement. Toutefois, UpGuard ignore combien de temps ces mots de passe ont pu être visibles.

Facebook est certainement sous la loupe pour la gestion des données personnelles de ses utilisateurs depuis le scandale Cambridge Analytica, mais pour UpGuard, ces nouvelles découvertes montrent que «le génie des données ne peut pas être remis dans la bouteille». Selon les chercheurs, le nombre effarant de données circulant sur le réseau social ne peut tout simplement pas être contrôlé par Facebook. «Combinez cet amas de données personnelles avec des technologies de stockage souvent mal configurées pour un accès public. Vous obtenez ainsi une longue liste de données sur les utilisateurs de Facebook qui continuent de fuir», écrivent-ils.

UpGuard a tenté deux fois d'entrer en contact avec Cultura Colectiva pour les informer de la brèche de sécurité, sans succès. Pour ce qui est d'At the pool, UpGuard a contacté Amazon, qui héberge les données pour les aviser. Malgré des réponses rapides comme quoi des mesures seraient prises pour remédier aux problèmes deux fois dans les derniers mois, ce n'est que mercredi matin, après l'insistance d'un journaliste de Bloomberg, qu'Amazon a sécurisé les dossiers.

Du côté de Facebook, on affirme avoir contacté Amazon après avoir été alerté de la brèche. «Les politiques de Facebook interdisent le stockage d'informations Facebook dans une base de données publique. Une fois alertés du problème, nous avons collaboré avec Amazon pour supprimer les bases de données. Nous nous sommes engagés à travailler avec les développeurs sur notre plateforme pour protéger les données des personnes», a déclaré un porte-parole à CNET.