Facebook demande les mots de passe des adresses mail à ses nouveaux membres

Le réseau social est épinglé sur les réseaux suite à la découverte d’un nouvel outil d’authentification lors de la création d’un compte. Les nouveaux membres de Facebook doivent introduire le mot de passe de leur adresse mail personnel pour pouvoir intégrer le réseau social.

Cette demande de la part de Facebook pose de nombreuses questions, d’une part sur l’utilité d’une telle procédure d’authentification, d’autre part, de sécurité. Pourquoi Facebook exigerait-il de ses nouveaux abonnés de renseigner leur mot de passe ? L’intérêt n’est pas clair, d’autant que Facebook envoie un mail de vérification à l’adresse renseignée lors de l’inscription. Il est donc difficile d’y voir un nouveau moyen de vérifier que la personne qui crée un compte est bien le propriétaire de l’adresse mail.

Pour ce qui est de la sécurité, ce n’est pas toujours un point sur lequel Facebook est le mieux placé. Si un compte se fait pirater et que le mot de passe d’une adresse mail a été conservé, le pirate pourrait le retrouver et faire plus de dégâts.

Il y a quelques jours, un utilisateur de Twitter partageait sur le réseau social à l’oiseau bleu une capture d’écran de l’étrange requête de Facebook. On peut ainsi voir que Facebook propose aux nouveaux inscrits de lui donner l’accès à sa boite mail afin de vérifier automatiquement l’adresse mail renseignée. Selon le site Daily Beast, le cadre apparait uniquement lorsque Facebook estime qu’il s’agit d’une inscription suspecte. Une théorie confirmée en testant « une adresse de messagerie Web jetable et en se connectant via un VPN en Roumanie ».

Voir l'image sur Twitter

Depuis toujours, il est recommandé de ne jamais transmettre ses mots de passe à qui que ce soit qu’on ne connait pas ni de les envoyer par mail, il est donc étonnant que Facebook le demande. Le fait qu’il s’agisse du mot de passe d’un compte de messagerie est d’autant plus inquiétant si celui-ci tombait dans de mauvaises mains puisque c’est souvent là que se trouve un grand nombre d’informations sensibles.

Pour Bennett Cyphers, chercheur en sécurité chez Electronic Frontier Foundation, l’outil est terrible erreur « c’est fondamentalement impossible à distinguer d’une attaque de fishing. C’est mauvais à bien des égards. C’est une absurdité excessive de la part de Facebook et une tentative louche de tromper les gens pour qu’ils envoient des données à propos de leurs contacts sur Facebook, comme le prix de l’inscription … Aucune entreprise ne devrait jamais demander aux gens de telles informations d’identification, et vous ne devriez pas faire confiance aux personnes qui le font ».

Contacté par le Daily Beast, Facebook a confirmé l’existence d’un tel type de processus de vérification et a précisé que la plateforme ne conservait aucun des mots de passe renseignés. Suite à la réaction des internautes, le réseau social envisagerait de supprimer cet outil d’authentification.