L'année dernière
, des experts en sécurité de l'information et des
journalistes ont constaté que Facebook utilise un numéro de téléphone pour la publicité ciblée, que l'utilisateur saisit pour l'authentification à deux facteurs (2FA). Il s'agit d'une autre «pratique trompeuse» dans laquelle le plus grand réseau social a été capturé.
Comment ça marche? Premièrement, Facebook a exigé d'entrer un numéro de téléphone pour tout type de 2FA, même s'il est effectué via un authentificateur de logiciel, et non par SMS (cependant, d'autres entreprises font de même). Deuxièmement, après environ un mois, cet utilisateur a commencé à recevoir des publicités ciblées d'annonceurs qui ont pris connaissance de son numéro de téléphone. De plus, n'importe qui pouvait trouver une personne en entrant son numéro de téléphone dans la recherche. Il s'est avéré que Facebook lie le numéro de téléphone au profil même si ce numéro n'est pas répertorié dans le profil, mais uniquement pour 2FA ou dans le carnet de contacts d'un autre utilisateur.
Facebook n'a pas tenu compte des nombreux appels pour mettre fin à cette pratique et n'a rien changé aux fonctionnalités du site. Finalement, l'affaire a été portée devant la Federal Trade Commission (FTC). Et c'est seulement alors que Facebook a fait quelque chose.
En juillet, Facebook a conclu un
accord avec la FTC, qui promet de mettre fin à certaines pratiques frauduleuses qui portent atteinte aux droits des utilisateurs. Y compris les promesses de ne pas utiliser les numéros de téléphone entrés à des fins de sécurité pour la publicité ciblée, y compris 2FA, la récupération de mot de passe ou la réception de messages sur les tentatives non autorisées de se connecter à votre compte.
Parallèlement à la vente des coordonnées des utilisateurs aux annonceurs (contrairement à leurs souhaits et attentes du service), Facebook fait également d'autres dommages par ses actions. Par de telles actions, il sape la confiance des utilisateurs dans l'authentification à deux facteurs elle-même. Mais il est maintenant devenu une exigence minimale obligatoire pour tout système de sécurité. Saper la confiance dans l'authentification à deux facteurs, Facebook nuit à d'autres entreprises qui ont correctement mis en œuvre 2FA.
Il semblerait que la FTC ait réussi, et maintenant la confiance dans 2FA peut être restaurée. Mais pas si simple.
L'Electronic Frontier Fund
attire l'attention sur le libellé spécifique du texte de l'accord Facebook et FTC. Elle
ne mentionne qu'une interdiction d'utiliser des numéros pour la publicité ciblée, et rien de plus.
En d'autres termes, Facebook peut continuer à utiliser des profils cachés à d'autres fins. Et l'histoire montre que si Facebook a une telle opportunité et qu'il n'y a pas d'interdiction directe, l'entreprise continuera certainement à en abuser.
Quelles opportunités Facebook a-t-il eu pour abus? Il y a au moins deux points.
- L'accord n'affecte pas les recherches de profil fantôme . Si vous n'entrez pas votre numéro dans le profil, mais le spécifiez pour 2FA, n'importe qui peut vous trouver par ce numéro de téléphone via la fonction de recherche de base sur le site.
Ce «trou» est connu depuis au moins 2017 , et Facebook l'a officiellement fermé , mais pas complètement . Il était possible de rechercher des personnes par leur numéro de téléphone en téléchargeant l'annuaire de leurs contacts.
- L'accord ne mentionne pas du tout le concept de «profils fantômes». Cela comprend les numéros de téléphone des utilisateurs extraits des contacts des autres personnes. Ils peuvent toujours être associés à un utilisateur spécifique et vendus à des annonceurs sans en avertir une personne et sans son consentement. L'utilisateur n'a toujours pas la possibilité de voir quelles informations sont collectées dans son «profil fantôme», même parmi les Européens en vertu de la loi RGPD.
Nous pouvons nous réjouir du succès partiel obtenu grâce à l'accord de Facebook et de la FTC. Les annonceurs ne pourront plus entrer une liste de téléphones pour la publicité ciblée et inclure ceux qui ont entré un numéro 2FA uniquement. Mais c'est un succès relativement faible par rapport aux autres pratiques que Facebook et d'autres géants de l'Internet se permettent. Il semble que pour certains d'entre eux, les utilisateurs et leurs informations ne sont que le produit sur lequel l'entreprise est bâtie.
GlobalSign utilise des certificats et des jetons numériques pour une authentification à deux facteurs pratique et fiable. Vous pouvez en savoir plus sur les solutions GlobalSign pour 2FA sur
www.globalsign.com/en-us/authentication/
