Fait assez rare, deux réseaux sociaux ont communiqué cette semaine sur une exposition massive des données de leurs utilisateurs.
Twitter et Facebook mettent en cause des applications malveillantes développées grâce à des SDK (Software Development Kit), un ensemble d’outils d’aide à la programmation permettant de concevoir des interfaces comme une application mobile, raconte Mashable.
Facebook : bientôt la reconnaissance faciale pour remplacer les mots de passe ?
Twitter affirme que les informations de “millions” de personnes ont été exposées à cause d’applications tierces frauduleuses. Parmi les données concernées, les noms, les pseudos, les emails et probablement des tweets. Même constat du côté de Facebook.
Selon le réseau social, 9,5 millions d’utilisateurs sont susceptibles d’avoir été touchés.
Grâce à une faille de l’écosystème Android, les développeurs malintentionnés ont pu glaner bien plus de données qu’ils n’en avaient le droit. Aucun utilisateur d’iOS (le système d’exploitation des iPhone) ne semble avoir été concerné.
« Bien que nous n’ayons aucune preuve suggérant que cela a été utilisé pour prendre le contrôle d’un compte Twitter, il est possible qu’une personne puisse le faire », a averti Twitter sur son blog ce lundi.
L’entreprise OneAudience affirme avoir immédiatement déployé une mise à jour pour empêcher la collecte illégale des données d’utilisateurs par les développeurs et précise que les informations en question n’ont jamais été ajoutées à leur base de données. OneAudience annonce par la même occasion mettre fin à son programme SDK.
Une autre entreprise mise en cause uniquement par Facebook, Mobiburn, annonce mettre temporairement fin à son activité. Selon le réseau social, le kit de cette dernière aurait également été utilisé pour récolter les données d’utilisateurs grâce au procédé permettant de “s’identifier avec”.
TIC : voici comment disparaître d’Internet à 99,99% en 10 étapes
Comme OneAudience, MobiBurn assure n’avoir “recueilli, partagé ou monétisé” aucune donnée provenant de Facebook et se place en simple « intermédiaire entre les développeurs et des sociétés tierces de monétisation des données ».
Cette affaire complexe est l’occasion de rappeler qu’il vaut mieux éviter d’utiliser les fonctions permettant de lier ses comptes entre eux et privilégier la création systématique de nouveaux identifiants.
Avec BFMTV
