Site icon Sophos News

Facebook : des emails confidentiels lèvent le voile sur la gestion des données utilisateurs de vos amis.

donnees utilisateur

Vous voulez savoir ce que Mark Zuckerberg et ses collaborateurs pensent vraiment de nous, les utilisateurs ?

Préparez-vous à le découvrir et à pleurer : contre la volonté du CEO de Facebook, l’enquête du Parlement britannique sur les fake news a publié une correspondance confidentielle entre Zuck et ses collaborateurs.

Cette correspondance contient des informations plutôt surprenantes en matière de gestion des données utilisateur. Mais d’abord, comment le comité Digital, Culture, Media, and Sport (DCMS) du Parlement, qui supervise les enquêtes sur les pratiques de Facebook en matière de respect de la vie privée, a-t-il pu mettre la main dessus ?

Eh bien, tout commence avec des photos de maillots de bain. Six4Three, une application qui a aujourd’hui disparu, recherchait les photos en maillot de bain des utilisateurs de Facebook, et s’est retrouvée embarquée dans une procédure judiciaire, qui a duré plusieurs années, l’opposant à Facebook.

Six4Three prétend que Facebook a soudainement changé les conditions d’utilisation permettant aux développeurs d’avoir accès à l’API “Graph” de Facebook de manière générale, et à la fonctionnalité Photos Endpoint en lien avec les Amis, en particulier. Six4Three a créé une application appelée “Pikinis” qui recherchait spécifiquement des photos de bikini sur les pages des amis des utilisateurs de Facebook. En avril 2015, Six4Three a intenté une action en justice contre Facebook, affirmant que l’interruption soudaine de l’accès à Facebook ruinait la “valeur” intrinsèque de l’application et de la société.

Selon un document fourni au tribunal la semaine dernière, le directeur général de Six4Three, Ted Kramer, a rencontré le député Damian Collins dans son bureau de Londres le 20 novembre. Collins a déclaré à Kramer qu’il faisait actuellement l’objet d’une enquête, qu’il était accusé d’outrage au Parlement et qu’il risquait potentiellement une amende et une peine d’emprisonnement.

Kramer aurait alors “paniqué” et complètement vidé une clé USB avant de fouiller frénétiquement dans son compte Dropbox à la recherche de fichiers pertinents obtenus dans le cadre d’une procédure civile. Il a recherché tous les fichiers dont les noms semblaient pertinents, les a transférés sur la clé USB en question sans même les ouvrir et a remis celle-ci, malgré le fait que Facebook ait qualifié ces documents de hautement confidentiels et “en dépit des déclarations explicites des avocats dans les communications susmentionnées », selon le dépôt fait la semaine dernière.

En résumé, c’est à peu près tout. Consultez les articles d’Ars Technica et de The Observer, qui ont fait la une, pour plus de détails sur l’affaire et l’incident : il s’agit vraiment d’un sacré imbroglio juridique lorsqu’il s’agit des limites juridiques des autorités britanniques et de sociétés internationales comme Facebook.

Dans l’état actuel des choses, Facebook a toujours refusé de comparaître devant des députés pour expliquer les agissements de l’entreprise concernant les fake news. Le député Collins, président du comité, a déclaré que l’affaire Six4Three aux États-Unis a offert une autre option pour obtenir les informations recherchées par le comité. The Observer l’a cité :

Nous avons suivi cette affaire judiciaire aux États-Unis et nous pensions que ces documents contenaient des réponses à certaines de nos questions au sujet de l’utilisation des données, en particulier par les développeurs externes.  

Concernant le scandale Cambridge Analytica lié aux données utilisateur, Six4Three souligne que la correspondance montre que Facebook était non seulement conscient des implications au niveau de sa politique de confidentialité, mais les a exploitées activement. Collins et son comité étaient particulièrement intéressés par les affirmations de la société de développement d’applications selon lesquelles Facebook avait délibérément créé et sciemment signalé le contournement utilisé par Cambridge Analytica pour collecter les données des utilisateur.

Mercredi, la commission parlementaire a publié environ 250 pages de cette correspondance, dont certaines portant la mention “hautement confidentiel”.

Voici les principaux problèmes recensés dans la correspondance mise en évidence par le député Collins dans sa note d’introduction :

Vous trouverez ci-dessous l’un des nombreux extraits des emails publiés mercredi et qui montrent comment Facebook a ciblé les applications concurrentes. Il s’agit de la suppression de l’accès aux données utilisateur des amis sur Vine, le service de vidéo courte de Twitter :

Email Facebook du 24 janvier 2013. Justin Osofksy (vice-président de Facebook) :”Twitter a lancé Vine aujourd’hui. Elle vous permet de filmer plusieurs vidéos courtes pour créer une seule vidéo de 6 secondes. Dans le cadre de leur NUX, vous pouvez trouver des amis via FB. À moins qu’il n’y ait des objections, nous allons fermer l’accès à l’API des amis dès aujourd’hui. Nous avons préparé une communication réactive et j’informerai Jana de notre décision”.

 Mark Zuckerberg :”Ouais, allez-y !”. 

Et voici l’extrait d’une discussion datant du 4 février 2015 concernant une autorisation à donner à une application Android sur Facebook pour qu’elle puisse lire les logs des appels de manière à ce que les utilisateurs en question ne voient apparaître aucune boîte de dialogue demandant leur permission :

Michael LeBeau (chef de produit Facebook) :”Salut, comme vous le savez, l’équipe développement prévoit d’envoyer une mise à jour des autorisations sur Android à la fin du mois. Elle veut inclure l’autorisation “lire le log des appels”, ce qui déclenchera ainsi la boîte de dialogue des autorisations Android lors de la mise à jour, obligeant les utilisateurs à accepter cette dernière. Elle fournira ensuite une option in-app à activer dans NUX pour obtenir une fonctionnalité qui vous permettra de télécharger en continu vos SMS et l’historique de vos appels sur Facebook afin d’améliorer, entre autres, PYMK, le calcul des coefficients, le classement des flux, etc. Il s’agit d’une décision risquée d’un point de vue communication, mais il semble que l’équipe développement soit missionnée pour le faire, et le fera effectivement”. 

Yul Kwon (chef de produit Facebook) : “L’équipe développement explore actuellement une option qui consiste à ne demander qu’une seule autorisation de lecture du log des appels, et à mettre en suspens les autres autorisations”. “Sur la base des tests initiaux, il semble que cela nous permettrait de mettre à niveau les utilisateurs sans les soumettre à une boîte de dialogue d’autorisation Android”. “Il s’agira tout de même d’un changement radical, car les utilisateurs seront obligés de cliquer pour mettre à niveau, mais aucun écran de dialogue relatif à une autorisation apparaîtra”.  

Facebook a déclaré à la BBC que les documents avaient été présentés de manière “très trompeuse” et nécessitaient davantage de contexte. Elle a cité un porte-parole de Facebook :

Nous mettons en suspens les modifications apportées à la plateforme en 2015, afin d’empêcher une personne de partager les données utilisateur de ses amis avec les développeurs. 

Comme toute entreprise, nous avons eu de nombreuses conversations en interne sur les différentes manières de construire un modèle commercial durable pour notre plateforme. 

Mais soyons clairs : nous n’avons jamais vendu de données personnelles. 

Zuckerberg a également posté une réponse sur sa page Facebook. Dans ce document, il a mis en contexte les décisions de la société, y compris ses efforts pour lutter contre les “applications douteuses” telles que le quiz qui a conduit à la situation de Cambridge Analytica.

Je sais que des regards dubitatifs sont nombreux à observer notre manière de gérer nos systèmes. 

Ce comportement est justifié, compte tenu du grand nombre de personnes qui utilisent nos services dans le monde entier, et il est normal de nous demander constamment d’expliquer ce que nous faisons. Mais il est également important que la couverture médiatique offerte et relatant nos agissements, y compris l’explication de ces documents internes, ne fausse pas nos actions ou nos motivations. Il s’agissait d’un changement important pour protéger notre communauté et l’objectif a été atteint.


Billet inspiré de Facebook staff’s private emails published by fake news inquiry, sur Sophos nakedsecurity.

Exit mobile version