Un bug dans la plate-forme publicitaire de Facebook a permis à des pirates potentiels de découvrir les numéros de téléphone des utilisateurs, selon un article présenté par le professeur agrégé du nord-est Alan Mislove lors de la conférence PrivacyCon de la Federal Trade Commission le mois dernier.

Le système publicitaire de Facebook est incroyablement efficace pour cibler des publics spécifiques, c'est ce qui a rendu l'entreprise si lucrative, Mislove a dit. Mais parce que n'importe qui peut devenir annonceur, et il y a très peu de transparence dans les annonces qui sont placées, la plate-forme "pourrait être utilisée à des fins malveillantes, ", a déclaré Mislove. Il a démontré comment dans ses propres recherches.

Dans les versions antérieures de la plate-forme publicitaire Facebook, les annonceurs pourraient cibler les personnes en fonction de leurs caractéristiques et de leurs préférences. Par exemple, une entreprise vendant des haut-parleurs étanches pourrait mettre en place des publicités ciblant les hommes et les femmes âgés de 16 à 40 ans qui s'intéressent à la natation, la navigation de plaisance, ou sports nautiques.

Facebook a mis à jour le système pour donner aux annonceurs la possibilité de créer des audiences personnalisées en fonction d'une liste de clients existante. Cela signifie qu'une entreprise pourrait télécharger une base de données d'adresses e-mail sur Facebook, et la plate-forme trouvera tous les utilisateurs correspondants sur le site et diffusera une annonce à ces utilisateurs.

De nombreux utilisateurs de Facebook choisissent de ne pas rendre publics leurs adresses e-mail ou leurs numéros de téléphone. Et le système publicitaire de Facebook n'est pas conçu pour permettre aux annonceurs d'apprendre l'identité des utilisateurs sur la base d'informations privées. Mais Mislove a découvert qu'en créant plusieurs audiences personnalisées, il pouvait croiser et faire correspondre les utilisateurs à leurs informations privées.

Mislove et ses collègues ont alerté Facebook du bug. C'était réparé, et les chercheurs ont reçu 5 $, 000 via le programme de bug bounty. Mais la fonctionnalité publicitaire n'est pas unique à Facebook, Mislove expliqué. LinkedIn, Twitter, et d'autres plates-formes ont des capacités d'audience personnalisées similaires. « Notre inquiétude est qu'il pourrait s'agir de fuites d'informations par inadvertance, " Mislove a déclaré. "Nous voulions attirer l'attention sur la complexité de ces systèmes et les façons dont ils peuvent être abusés."

Un autre groupe du Nord-Est, dirigé par le doctorant Michael Weissbacher, a également présenté des recherches à PrivacyCon. Weissbacher a montré que des dizaines d'extensions de navigateur populaires divulguaient l'historique Web des utilisateurs.

Weissbacher et son équipe ont créé un outil appelé Ex-Ray pour détecter les fuites de données en fonction du trafic réseau. Ils ont découvert que plus l'historique du navigateur d'un utilisateur est important, plus il y avait de fuites de données. Ex-Ray a identifié 32 extensions de navigateur - utilisées par un total combiné de 8 millions de personnes - qui divulguaient activement des données d'historique Web. Celles-ci comprenaient des extensions populaires comme AdBlocker pour Google Chrome, et parle-le, une extension de synthèse vocale.

Weissbacher a déclaré que Google avait supprimé de nombreuses extensions, mais pas toutes, de sa boutique en ligne après avoir appris qu'elles avaient divulgué l'historique du navigateur. Il a ajouté que les créateurs de ces extensions n'étaient peut-être pas au courant de leur fuite. Cependant, la boutique en ligne doit assumer la responsabilité d'analyser les extensions pour s'assurer qu'elles sont sécurisées, dit Weissbacher. Jusque là, il recommande aux utilisateurs de supprimer les extensions qu'ils n'utilisent pas régulièrement afin de réduire le risque de violation de la vie privée.

« Que les fuites se produisent par malveillance ou par inadvertance, il expose toujours l'utilisateur, ", a déclaré Weissbacher.

La confidentialité est également une préoccupation sur les plateformes mobiles. Jingjing Ren, un doctorant en informatique, a présenté une recherche à PrivacyCon montrant que certaines applications Android sont devenues moins sécurisées au fil du temps. Son équipe a découvert 13 applications qui divulguaient les informations personnelles des utilisateurs dans au moins une version de l'application.

"Un exemple notable est Pinterest, " Ren dit, se référant à une application populaire pour télécharger et enregistrer une variété de contenus. L'application mobile de Pinterest compte environ 140 millions d'utilisateurs actifs. "Dans deux versions que nous avons étudiées, l'application a accidentellement envoyé les informations d'identification des utilisateurs à un tiers non divulgué qui semblait fournir des services d'interface utilisateur pour Pinterest."

Ren a déclaré que les développeurs de Pinterest avaient résolu le problème dans le mois suivant sa découverte et sa divulgation par son équipe. Cependant, quatre autres applications — Meet24, FastMeet, Waplog, Suivi des règles et de l'ovulation - n'ont pas encore corrigé leurs fuites de confidentialité.

"En fin de journée, la confidentialité mobile est toujours une conversation en cours parmi les consommateurs, développeurs d'applications, plateformes de distribution d'applications, des tiers, créateurs de politiques, et d'autres intervenants, " dit Ren.