Facebook, toujours plus loin. Le 31 mars, l’expert en sécurité connu sous le pseudonyme « e-sushi » publie une petite bombe sur Twitter. Son micromessage montre une capture d’écran Facebook exigeant le mot de passe de la boîte mail d’un nouvel utilisateur pour vérification. La boîte de dialogue indique : « pour continuer à utiliser Facebook, vous devez confirmer votre adresse mail ».
Jusque-là, pas de problème, tous les sites utilisent cette technique pour confirmer que vous êtes bien le titulaire du compte mail avec lequel vous vous êtes inscrit. Mais la seconde partie du message est bien plus problématique. « Puisque vous vous êtes inscrit avec l’adresse [email protected], vous pouvez faire cela de façon automatique via gmx.net. ». Facebook invite alors l’utilisateur à entrer le mot de passe de son compte mail !
https://twitter.com/originalesushi/status/1112496649891430401
« Exiger le mot de passe secret des comptes e-mail personnels de vos utilisateurs pour vérification ou pour tout autre usage est une idée HORRIBLE du point de vue de la sécurité informatique » écrit l’expert, qui s’étonne de voir le géant des réseaux sociaux « partir à la pêche à des mots de passe qu’il n’est pas censé connaître. »
Facebook en a profité pour importer des contacts
Facebook contrevient en effet avec cette fonction à une règle de base de sécurité informatique : ne jamais renseigner un mot de passe sur un autre site que celui sur lequel vous l’avez créé. C’est d’autant plus regrettable qu’aucune alternative n’est ici proposée, à moins de cliquer sur le petit bouton « besoin d’aide ? », pas clair du tout.
Pire, d’après ce que rapporte Business Insider, capture à l’appui, Facebook a par ailleurs profité de cet accès pour importer sans obtenir de consentement l’ensemble des contacts mail des utilisateurs dans sa propre base de données.
Il a fallu que le site The Daily Beast consacre un article à cette étrange pratique pour que Facebook réagisse. En expliquant d’abord qu’il n’enregistrait pas les mots de passe (ouf) et surtout qu’il allait en finir avec ce système. « Nous comprenons que la vérification par mot de passe n’est pas le meilleur moyen pour authentifier un utilisateur, donc nous allons arrêter de proposer cette option » a expliqué la firme dans un communiqué fourni à The Daily Beast. Sans préciser quand ce sera fait.
Une façon d’étouffer dans l’œuf une énième polémique ? Facebook les collectionne en tout cas depuis des mois. Et la dernière en date a justement trait aux mots de passe. Il y a quelques jours, on apprenait que le site avait stocké durant des années des centaines de millions de mots de passe de ses utilisateurs en clair. Ce n’est pas cette nouvelle péripétie qui va redorer son blason.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
