Même si le réseau social a corrigé ce bug le 22 décembre, on ne saura  sans doute jamais si des numéros de téléphone ont été extraits de Facebook à l’insu des utilisateurs du réseau social.

Une faille a été identifiée par une équipe de chercheurs US,  français  (de l’Université de Grenoble Alpes, du CNRS, et de Inria, Grenoble INP)  et allemands qui ont transmis les informations à Facebook  en mai 2017.

Facebook a récompensé l’équipe dans le cadre de son programme de bug bounty.

Loin de  contribuer  à la  sécurité, les numéros de téléphones portables laissés à Facebook pouvaient être révélés à des annonceurs grâce à l’outil de ciblage pour les audiences personnalisées.

La même faille pouvait être utilisée pour récupérer les numéros d’utilisateurs qui avaient visité une page sur un site internet.

Le réseau social tente de protéger les données personnelles de ses utilisateurs par de nombreux moyens ; mais  la technique identifiée par les chercheurs révèle une défaillance inadmissible.

Toutefois, Facebook se veut rassurant en  soulignant qu’il n’y avait aucune preuve qu’un annonceur ait utilisé cette méthode qui, de surcroît, n’est pas simple à mettre en place.

Les chercheurs ont utilisé la fonctionnalité d’audience personnalisée qui permet de cibler des utilisateurs Facebook en fonction de nombreux critères.

Les chercheurs ont ainsi, pour étayer leurs annonces, pu révéler les numéros de téléphone de 19 volontaires de Boston et de France ayant au préalable laissé leurs adresses email (liées à leur compte).

-         La première technique a été de créer une publicité ciblant environ 2 millions de personnes autour de Boston, et 20 millions en France. Les chercheurs ont ensuite utilisé un outil de Facebook pour comparer leurs audiences proposées à une autre utilisant la base de 19 adresses des volontaires.

En observant les changements entre les deux audiences, lorsqu’une adresse correspondait, il était possible d’accéder au numéro de téléphone portable.

-         La seconde technique permet, elle, de collecter des numéros en grande quantité en exploitant le pixel de conversion de Facebook (1).

Il est en général utilisé pour faire du retargeting, c’est-à-dire,  pour proposer de la publicité sur Facebook après que  l’internaute ait visité des pages sur Amazon ou autres sites.

Cette méthode prenait quelques jours pour exploiter l’outil de ciblage, et environ 20 minutes de plus pour sortir un numéro à partir d’une adresse email.

Facebook a corrigé cette faille un peu avant Noël ; mais  ces deux méthodologies auraient pu être utilisées par des hackers afin de cibler, avec des méthodes de phishing, des personnes bien précises

Un annonceur mal intentionné aurait aussi pu utiliser ces numéros dans le but d’envoyer des campagnes de SMS marketing.

(1) Le suivi des conversions peut aider une entreprise à mesurer le retour sur investissement des publicités Facebook, en établissant des rapports sur les actions réalisées par les utilisateurs après qu’ils ont vu les publicités.

A l’aide de l’outil de pixel de suivi des conversions, l’on crée un extrait de code JavaScript à insérer dans un site web. Ce code place une image invisible de 1 x 1 pixel sur le site web, qui envoie un message à Facebook lorsqu’une personne le consulte ou entreprend une action.