Facebook a fait état d’une nouvelle faille informatique ayant mis en danger des données de ses utilisateurs. / NICOLAS SIX / QUENTIN HUGON / LE MONDE

L’Irlande a annoncé, vendredi 14 décembre, avoir lancé une enquête sur Facebook, après la révélation d’une nouvelle faille de sécurité ayant affecté le réseau social. Cette faille a laissé accessibles à des applications tierces des photos d’utilisateurs qui n’auraient pas dû l’être.

Selon les détails fournis par Facebook dans un communiqué, ce sont des photos d’environ 6,8 millions d’utilisateurs qui ont pu être accessibles à environ 1 500 applications, entre le 13 et le 25 septembre, même si les réglages de confidentialité des photos en question auraient dû les rendre invisibles.

Sont notamment concernées les images qu’un utilisateur a chargées dans un post, mais qu’il n’a ensuite pas publiées (par manque de temps ou de réseau, parce qu’il s’est trompé, ou parce qu’il a changé d’avis). Par défaut, Facebook conserve une copie de ces images pendant trois jours, afin de proposer à l’utilisateur, pendant ce laps de temps, de pouvoir poursuivre la publication des images. Ces copies d’images non publiées ont pu, entre le 13 et le 25 septembre, être accessibles à l’une des 1 500 applications tierces concernées, et donc à leurs équipes de développeurs, si l’utilisateur Facebook avait préalablement permis à l’une de ces applications d’accéder aux photos de son profil. De même, les applications ont pu, à cause de la faille, avoir aussi accès aux images postées dans les « Stories », ou les petites annonces du « Marketplace » (l’équivalent du Bon Coin sur Facebook), précise l’entreprise.

Une erreur dans le code de Facebook

Selon le réseau social, cette ouverture d’accès à de telles images, censées être inaccessibles aux applications tierces, a eu lieu en raison d’un « bug de l’API dédiée aux photos ». C’est-à-dire, à une erreur de code introduite par Facebook lors d’une mise à jour de son interface technique permettant à un utilisateur de connecter son profil Facebook à des services extérieurs. L’API Facebook est ainsi utilisée lorsque des applications comme Tinder, Instagram, Airbnb et autres vous demandent de vous connecter à votre compte Facebook pour les utiliser. En l’occurrence, il s’agissait dans ce cas de l’API dédiée à l’accès aux photos, qui permet à de telles applications d’utiliser vos photos postées sur Facebook.

Dans son communiqué, Facebook dit être « désolé » de cette nouvelle faille, qui intervient deux mois après la révélation d’une autre faille ayant permis à des pirates d’accéder aux données personnelles de 29 millions d’utilisateurs. Sans donner le détail des utilisateurs concernés par ce nouveau problème (de quels pays proviennent-ils ? sont-ils actifs ? combien de photos ont-elles pu concrètement être visibles ?) ou des applications ayant pu profiter de cette erreur, Facebook a promis de mettre en œuvre les correctifs nécessaires.

Elle a promis de le faire, d’une part, en travaillant avec les 876 entreprises qui ont développé les 1 500 applications concernées, pour s’assurer qu’elles effacent bien les photos auxquelles elles auraient pu avoir accès suite à cette erreur de la part de Facebook. D’autre part, en avertissant les utilisateurs qui ont pu être affectés par un accès indu à leurs photos. Vous pouvez d’ores et déjà vérifier si c’est le cas en vous connectant à cette page, qui affiche un petit encadré indiquant si votre compte Facebook est, ou non, « touché par ce problème ».

Une enquête relative au RGPD

C’est dans ce contexte que les autorités irlandaises ont annoncé l’ouverture d’une nouvelle enquête. La démarche est portée, plus précisément, par la commission de protection des données irlandaise (DPC), équivalent de la CNIL en Irlande. Dans le cadre du règlement général sur la protection des données (RGPD) adopté par l’Europe le 25 mai, la DPC irlandaise a en effet une compétence élargie à l’ensemble de l’Union européenne pour tout ce qui concerne Facebook (l’entreprise ayant établi son siège européen à Dublin), et l’évaluation des manquements du réseau social à informer comme il se doit les utilisateurs européens de l’utilisation de leurs données personnelles.

En octobre, la DPC avait déja lancé une première enquête après la révélation du piratage ayant affecté 29 millions d’utilisateurs de Facebook, dont trois millions d’Européens. Graham Doyle, le porte-parole de la DPC, a précisé dans un communiqué, vendredi, que l’enquête intervient dans un cadre plus large où le régulateur irlandais a « reçu un certain nombre de dénonciations d’infractions commises par Facebook depuis l’entrée en vigueur du RGPD le 25 mai ».

Ces infractions au RGPD peuvent notamment concerner le temps mis par Facebook avant de prevenir les autorités des régulations des données après la découverte d’une faille de sécurité. Sur le site de la CNIL, il est ainsi spécifié qu’une entreprise traitant de données personnelles doit prévenir les commissions de protection de données, telles que la DPC ou la CNIL, soixante-douze heures après le constat de toute « perte (…) de confidentialité de données personnelles, de manière accidentelle ou illicite ».

Une amende de 4 % du chiffre d’affaires

Or, cette nouvelle faille Facebook ayant été active du 13 au 25 septembre, le doute sur une infraction relative au RGPD (pouvant être punie d’une amende équivalente à 4 % du chiffre d’affaires de l’entreprise, soit 1,4 milliard d’euros pour Facebook) est permis : pourquoi l’entreprise a-t-elle attendu le 14 décembre pour prévenir le grand public qu’un tel problème pouvait toucher les photos de ces utilisateurs ?

Contacté sur le sujet par le site spécialisé TechCrunch, Facebook a donné des éléments de calendrier. Si la faille a été constatée (et réparée) le 25 septembre, ses équipes ont prévenu la commission de protection des données irlandaises le 22 novembre, dans un délai « inférieur à trois jours », lorsque Facebook a pu établir, après conclusion d’une enquête interne, qu’une atteinte à la confidentialité des données personnelles de ses utilisateurs avait bien pu avoir lieu. En ce qui concerne le délai entre la constatation de la faille et sa communication au grand public, Facebook a en revanche expliqué à TechCrunch qu’il avait fallu tout ce temps pour comprendre quels utilisateurs et applications étaient réellement concernés, puis pour concevoir, et traduire, des messages d’alerte conformes à ce qu’il s’était passé.

Comprendre le RGPD en cinq questions
Durée : 03:28