Après avoir été pris la main dans le sac en train de manipuler les données des utilisateurs de Facebook, les relents du scandale Cambridge Analytica ont disparu le 2 mai.
Avant cela, les anciens employés avaient déclaré à Gizmodo qu’ils savaient que l’avertissement avait été lancé concernant l’entreprise d’analyse de données, mais ils ne se sont pas rendu compte de la rapidité de ce naufrage.
D’après eux, tout cela semblait injuste. Ils étaient simplement des “acteurs standards de ce secteur pris dans une tempête médiatique”, comme l’a dit Gizmodo. Vous pouvez voir pourquoi ils se sont sentis injustement exclus : en peu de temps, il était devenu clair que Cambridge Analytica n’était pas une exception. Un clone nommé Cubeyou est arrivé en avril : une autre entreprise qui a maquillé ses données personnelles récupérées avec l’étiquette “recherche universitaire à but non lucratif”, sous la forme d’un quiz de personnalité, et en remettant les données en question à des spécialistes du marketing.
Et maintenant, nous avons un nouvel arrivant !
Une enquête du New Scientist a trouvé qu’une autre application de personnalité populaire sur Facebook a été utilisée comme outil de recherche par des universitaires et des entreprises. Cette dernière, appelée myPersonality, a récupéré les données de trois millions d’utilisateurs de Facebook, y compris leurs réponses à des questionnaires intimes.
Des universitaires de l’Université de Cambridge ont distribué des données de myPersonality à des centaines de chercheurs via un site web à la sécurité plus que minable … et les ont laissées là, accessible par tous, pendant quatre ans.
Le New Scientist a décrit les données comme étant “très sensibles, révélant les détails personnels des utilisateurs de Facebook, tels que les résultats à des tests psychologiques”. Elles étaient censées être stockées et partagées anonymement, mais “les faibles précautions qui ont été prises rendaient la dé-anonymisation très simple”.
Les gens devaient s’inscrire en tant que collaborateur du projet pour avoir accès à l’ensemble complet des données, et plus de 280 personnes au sein de 150 institutions l’ont fait, y compris des chercheurs universitaires et des entreprises telles que Facebook, Google, Microsoft et Yahoo.
Pas de contrat académique permanent ? Aucune grande entreprise qui vous paie pour faire cette recherche ? Aucun problème. Depuis quatre ans, un nom d’utilisateur et un mot de passe suffisait pour accéder aux données. Les informations d’identification ont été placées sur le site web de partage de code GitHub. Une simple recherche sur le web vous menait aux informations d’identification opérationnelles.
En plus d’être un projet académique, myPersonality, comme les autres quiz de personnalité du même style, permettaient aux entreprises commerciales, ou du moins à leurs chercheurs, de mettre la main sur les données.
Pour sa part, Cambridge Analytica a accédé aux données à partir d’une application appelée “This Is Your Digital Life”, développée par Aleksandr Kogan, professeur à l’Université de Cambridge, et qui est au centre des allégations de Cambridge Analytica (Kogan était auparavant sur le projet myPersonality, également). Tant que les chercheurs ont accepté de se conformer à des procédures strictes de protection des données et n’ont pas directement gagné de l’argent à partir de l’ensemble de données, ces entreprises ont été autorisées à y accéder, selon le New Scientist.
Plus de six millions d’utilisateurs de Facebook ont effectué les tests sur myPersonality, et près de la moitié ont accepté de partager les données de leurs profils Facebook avec le projet, selon l’agence de presse :
Toutes ces données ont ensuite été récupérées et les noms supprimés avant d’être mis sur un site web de partage avec d’autres chercheurs. Les termes permettaient à l’équipe de myPersonality d’utiliser et de distribuer les données “de manière anonyme, de sorte que les informations ne permettaient pas de remonter jusqu’à l’utilisateur de départ”.
Cependant, les données n’ont été utilisées ainsi. Pam Dixon, avec le World Privacy Forum, a déclaré au New Scientist qu’en plus de publier un mot de passe accessible publiquement pour accéder à l’ensemble des données, et d’autoriser l’accès à des centaines de chercheurs, l’anonymat n’était pas garanti. Chaque utilisateur de Facebook a reçu un identifiant unique qui regroupait les données, notamment l’âge, le sexe, l’emplacement, les mises à jour du statut, les résultats du test de personnalité et bien plus encore.
Avec l’aide de ce dernier, la dé-anonymisation des données était un jeu d’enfant, a déclaré Dixon. Comme nous l’avons écrit, plus vous utilisez une série de données, moins il vous faudra de temps pour faire une corrélation, et pouvoir ainsi supprimer l’anonymat.
Dixon, concernant les données collectées par l’application myPersonality :
Vous pouvez ré-identifier quelqu’un en ligne à partir d’une mise à jour du statut, du sexe et de la date.
Facebook a suspendu myPersonality le 7 avril. L’application fait actuellement l’objet d’une enquête pour avoir potentiellement enfreint les politiques de la plateforme, du fait de la langue utilisée au sein de l’application et sur son site web pour décrire ses pratiques de partage de données.
MyPersonality n’est que l’une d’entre elles : Facebook a annoncé lundi avoir suspendu 200 applications jusqu’à présent dans l’enquête et l’audit de l’application que le CEO Mark Zuckerberg a promis suite au scandale de Cambridge Analytica.
L’Information Commissioner Office (ICO) enquête sur myPersonality. En fait, l’Université de Cambridge a déclaré au New Scientist qu’elle avait été alertée par l’ICO des problèmes liés à cette dernière. L’université affirme que l’application a été créée avant que les contrôleurs de l’ensemble de données, David Stillwell et Michal Kosinski, du Centre de psychométrie de l’Université, ne rejoignent l’université.
Le New Scientist a cité la déclaration de l’université :
[L’application] n’est pas passée par notre processus d’approbation éthique … L’Université de Cambridge n’a aucun contrôle sur l’application ou les données.
Est-ce que vous utilisez encore ce type de quiz de personnalité de Facebook? Je m’attends à un “NON” massif pour secouer le hall d’entrée de siège social de Facebook, mais s’il vous plaît, confirmez-le nous dans la section commentaires ci-dessous. Si vous voulez continuer de garder le cap, vous pouvez jeter un coup d’œil à nos conseils sur comment protéger vos données Facebook.
Billet inspiré de Facebook app left 3 million users’ data exposed for four years, sur Sophos nakedsecurity.