Facebook n'a pas la réputation de se soucier particulièrement de la vie privée de ses utilisateurs. Mais on aurait au moins pu espérer qu'une fois l'utilisateur déconnecté, il ne soit plus reconnu par Facebook lorsqu'il visite l'un des nombreux sites exploitant les API du réseau social. Que nenni, la traque continue !
En effet, Nik Cubrilovic vient de révéler une information troublante sur la façon dont Facebook gèrerait les cookies qui lui servent à identifier les utilisateurs. Il a en effet constaté que lorsque l'utilisateur se déconnecte, au lieu d'être effacé ou remplacé par un cookie "anonyme", le cookie d'identification reste présent, avec simplement un marqueur indiquant que l'utilisateur est déconnecté.
Ainsi, les sites utilisant les services de Facebook peuvent théoriquement continuer à communiquer des informations aux serveurs du réseau social et à les associer a un utilisateur bien identifié. Il s'agit là d'un comportement réellement abusif, l'utilisateur ayant demandé à se déconnecter ne devrait plus pouvoir être identifié. Cette rémanence du cookie peut également constituer un risque de sécurité lorsqu'un utilisateur se connecte à Facebook depuis un ordinateur publique, et laisse ensuite trainer son cookie d'identification, tout en pensant avoir bien fait en se déconnectant du site.
Contacté par Nik Cubrilovic, Facebook n'a pas encore communiqué sur ce problème.