Les données de millions d'utilisateurs Facebook et Twitter ont été compromises

Fait assez rare, deux réseaux sociaux ont communiqué cette semaine sur une exposition massive des données de leurs utilisateurs. Twitter et Facebook mettent en cause des applications malveillantes développées grâce à des SDK (Software Development Kit), un ensemble d’outils d’aide à la programmation permettant de concevoir des interfaces comme une application mobile, raconte Mashable.

Twitter affirme que les informations de “millions” de personnes ont été exposées à cause d’applications tierces frauduleuses. Parmi les données concernées, les noms, les pseudos, les emails et probablement des tweets. Même constat du côté de Facebook. Selon le réseau social, 9,5 millions d’utilisateurs sont susceptibles d’avoir été touchés.

Seuls les utilisateurs Android sont concernés

Des développeurs se sont servis du SDK développé par une entreprise appelée OneAudience afin de créer des applications siphonnant les données des utilisateurs. Au départ, ces derniers ont été invités à se connecter avec leurs identifiants d’une autre plateforme, en l’occurrence Twitter et Facebook, pour éviter de se créer un nouveau compte.

Un procédé courant mais loin d'être inoffensif. Pour rappel, les créateurs de l'application accèdent par ce biais à certaines données de l'utilisateur sur la plateforme choisie pour l'identification (Google, Facebook, Twitter...). Grâce à une faille de l’écosystème Android, les développeurs malintentionnés ont pu glaner bien plus de données qu’ils n’en avaient le droit. Aucun utilisateur d'iOS (le système d'exploitation des iPhone) ne semble avoir été concerné.

“Bien que nous n'ayons aucune preuve suggérant que cela a été utilisé pour prendre le contrôle d'un compte Twitter, il est possible qu'une personne puisse le faire”, a averti Twitter sur son blog ce lundi. 

L’entreprise OneAudience affirme avoir immédiatement déployé une mise à jour pour empêcher la collecte illégale des données d’utilisateurs par les développeurs et précise que les informations en question n’ont jamais été ajoutées à leur base de données. OneAudience annonce par la même occasion mettre fin à son programme SDK. 

Simple "intermédiaire"

Une autre entreprise mise en cause uniquement par Facebook, Mobiburn, annonce mettre temporairement fin à son activité. Selon le réseau social, le kit de cette dernière aurait également été utilisé pour récolter les données d’utilisateurs grâce au procédé permettant de “s’identifier avec”. 

Comme OneAudience, MobiBurn assure n’avoir “recueilli, partagé ou monétisé" aucune donnée provenant de Facebook et se place en simple "intermédiaire entre les développeurs et des sociétés tierces de monétisation des données".

Cette affaire complexe est l'occasion de rappeler qu’il vaut mieux éviter d’utiliser les fonctions permettant de lier ses comptes entre eux et privilégier la création systématique de nouveaux identifiants.