TimeLine, la fonctionnalité tout juste dévoilée par Facebook aux développeurs, et que l'entreprise prévoit de déployer dans quelques semaines, résume, sur une seule page, les événements passés importants des utilisateurs. Selon Mark Zuckerberg, le PDG de l'entreprise, Timeline, c'est « l'histoire de votre vie. » Cet aspect n'a pas échappé aux experts de l'éditeur britannique Sophos spécialisé dans la sécurité. « Timeline facilite énormément la collecte d'informations sur les personnes, » a déclaré Chet Wisniewski. «Certes, ces données existent déjà actuellement sur Facebook, mais elles ne sont pas accessibles aussi facilement. »

« Les cybercriminels cherchent souvent à dénicher des détails personnels sur des sites de réseautage social pour élaborer des attaques ciblées, » fait remarquer le chercheur de Sophos, « et Timeline va leur mâcher le travail. » D'autant que « Facebook encourage les gens à combler les vides dans l'histoire de leur vie», a constaté Chet Wisniewski. Celui-ci fait notamment référence à l'outil qui demande aux utilisateurs d'ajouter des détails aux sections laissées vides. « Les gens utilisent souvent des éléments de leur vie personnelle pour élaborer leurs mots de passe ou encore définir la question de sécurité que certains sites et services demandent pour réinitialiser les mots de passe.

Plus il y a de détails dans un récit, plus les gens se mettent en danger, » a encore estimé le chercheur. « Vous vous souvenez du hack du compte de Sarah Palin, l'ancien gouverneur de l'Alaska? » a-t-il demandé. « Le pirate avait trouvé en ligne les réponses aux questions de sécurité imaginées par l'ancien gouverneur, » a-t-il ajouté. Il avait fallu seulement 45 minutes à l'ancien étudiant de l'Université du Tennessee qui s'était vanté de l'exploit - il a été condamné pour de multiples chefs d'inculpation par un tribunal fédéral l'an dernier -  pour réinitialiser le mot de passe du compte de messagerie Yahoo de Sarah Palin.

Des informations importantes pour les pirates

« Les pirates peuvent aussi utiliser ce qu'ils trouvent sur Facebook et ailleurs pour élaborer des emails convaincants dans lesquels ils peuvent inclure des logiciels malveillants ou des liens vers des sites malveillants, » a déclaré Chet Wisniewski, même si l'individu n'est pas forcément la cible. «Le pirate peut chercher à viser l'entreprise pour laquelle travaille un individu particulier, comme ça a été le cas pour les salariés de RSA Security », a-t-il déclaré, en rappelant les courriels envoyés à des salariés ordinaires de cette entreprise plus tôt cette année, accompagnés de feuilles de tableur Excel infectées par des logiciels malveillants qui ont permis aux pirates de s'introduire dans le réseau de RSA. Grâce à cela, les criminels ont pu siphonner les systèmes de RSA et voler des informations confidentielles sur sa technologie d'authentification par tokens SecurID.

D'autres individus, qui ne sont pas des pirates au sens strict, pourraient utiliser Timeline pour déterrer rapidement des informations sensibles qu'ils peuvent exploiter, » a déclaré Chet Wisniewski. «Par exemple, une personne malveillante pourrait utiliser Timeline pour collecter des informations en vue de vous harceler, ou un collègue de travail en concurrence sur le plan professionnel pourrait les utiliser contre vous, » a-t-il ajouté. « Plus vous vous employez à compléter votre histoire - et nous avons été conditionnés à remplir des formulaires - plus il sera facile à une personne mal intentionnée de collecter des renseignements vous concernant, » a déclaré le chercheur.