Facebook utiliserait les numéros 2FA pour spammer les utilisateurs

Par

le

Facebook spammerait les utilisateurs sur les numéros mobiles qu’ils ont donné à la plateforme pour l’authentification à deux facteurs (2FA).

Facebook ne peut tout simplement pas faire une pause ces jours-ci, ce qui n’est probablement pas inattendu car il s’agit tout simplement du plus gros réseau social au monde. L’entreprise est impliquée dans des questions de confidentialité en série, pour ne pas mentionner les poursuites qui en découlent. Le dernier problème rapporté pourrait certainement être ajouté à cette liste de poursuites si un cabinet d’avocats décide de se pencher sur le sujet. Depuis quelques jours, des utilisateurs signalent qu’ils reçoivent des notifications par SMS sur les posts Facebook sans qu’ils y consentent. Mais plus inquiétant, Facebook semble avoir utilisé le numéro de téléphone que les utilisateurs ont connecté au système d’authentification à deux facteurs du site.

L’authentification à deux facteurs, ou 2FA en abrégé, utilise souvent un numéro de téléphone, une application mobile ou une adresse e-mail pour envoyer un code à votre identifiant. Considérant que 2FA est un outil pour la sécurité, la dernière chose que vous attendez de celui-ci est d’être utilisé pour vous envoyer des informations non sollicitées, c’est-à-dire du spam. Facebook pourrait ne pas être d’accord sur ce point.

L’ingénieur logiciel Gabriel Lewis a remarqué qu’il recevait des messages de Facebook lorsque ses amis postaient quelque chose, même quand il ne mettait jamais de notifications par SMS. À son grand étonnement, il s’est rendu compte que le numéro Facebook envoyait ces notifications au numéro qu’il utilisait pour l’authentification à deux facteurs. Pour ne rien arranger, la réponse à l’expéditeur du SMS entraîne la publication automatique de ce message sur la timeline de l’utilisateur. Depuis que l’information a éclaté, plusieurs utilisateurs ont confirmé la situation.

Comme la mythique Hydra, cette question a plusieurs têtes. Aucun des utilisateurs n’a configuré de notifications par SMS. Facebook n’a pas demandé explicitement à l’utilisateur l’autorisation de leur envoyer de tels messages, ce qui est illégal dans certaines juridictions. Il y a le fait que Facebook utilise le numéro de téléphone à d’autres fins que pour l’authentification, et qu’il a connecté ce numéro à la timeline de l’utilisateur. La théorie actuelle est que Facebook a connecté le numéro de téléphone 2FA avec son système de publication et de notifications par SMS, une fonctionnalité permise dans certains marchés où les connexions par données cellulaires ne sont pas aussi répandues ou abordables.

Cela, cependant, n’explique pas exactement pourquoi Facebook l’a fait. Un représentant de Facebook a admis qu’il y avait un problème et a simplement dit que les équipes du site enquêtent sur l’affaire. Le représentant explique en outre que Facebook donne aux utilisateurs le contrôle de leurs notifications, mais apparemment pas autant. Et enfin, le système 2FA du réseau social peut également utiliser une application d’authentification au lieu d’un numéro de téléphone afin qu’il ne vous oblige pas à lui donner votre numéro de téléphone. Mais au cas où vous feriez l’erreur de le faire (le numéro de téléphone est la première option que les utilisateurs verront), vous pourriez implicitement lui donner la permission de vous spammer.


Articles recommandés