Données personnelles sensibles envoyées par des applications Facebook à la maison mère

Protection de la vie privée

Un triple tremblement de terre a frappé Facebook en matière de protection de la vie privée ces derniers jours.

donnees personnelles

En résumé…

  1. Onze applications tierces partagent nos données personnelles sensibles avec Facebook. Vous ne voulez peut être pas que tout le monde sache quand vous avez vos règles ? Le prix d’achat de cette maison qui vous intéresse ? Le Wall Street Journal [via le paywall] a annoncé récemment ce phénomène de surpartage et en conséquence…
  2. Le gouverneur de New York a appelé deux agences gouvernementales à enquêter sur ce partage “secret” de données financières et de données de santé, qui enfreint apparemment les propres règles de Facebook et qui aurait concerné des utilisateurs non-Facebook et non connectés, en grande partie bien évidemment sans le consentement explicite de l’utilisateur. Pendant ce temps…
  3. 60 pages de documents juridiques non expurgés, provenant d’un procès entre Facebook et le développeur d’applications Six4Three, ont été postées anonymement sur GitHub. Les documents n’ont pas été confirmés de manière indépendante, selon The Guardian, mais Facebook n’a pas nié leur authenticité. Les emails internes révèlent que Facebook prévoyait d’espionner les utilisateurs d’Android et que Facebook avait lui-même ce qu’il appelait une approche presque fatale avec une violation de la confidentialité des données lorsqu’une application tierce était sur le point de divulguer ses résultats financiers plus tôt que prévu.

Afin d’approfondir les conclusions du WSJ sur ces applications indiscrètes, le gouverneur de New York, Andrew Cuomo, a déclaré qu’il confiait à de nombreuses agences le soin d’investiguer sur ce sujet.

Si l’enquête du WSJ s’avère exacte et si les emails internes récemment divulgués de Six4Three se révèlent authentiques, elle donnera une image encore plus horrible de Facebook, surtout après le scandale de Cambridge Analytica, les enquêtes gouvernementales et les sanctions infligées

… alors qu’on aurait pu raisonnablement supposer que la plateforme sociale aurait pu aller dans le sens de ce vent de protestations contre ces applications tierces, consommatrices de données personnelles et qui enfreignent ses politiques, avec au moins une tentative de les en empêcher.

En attendant, voici quelques détails supplémentaires sur cette vague de nouvelles fraîches à propos de Facebook :

Vous avez dit Facebook a fait QUOI ??!

Ces derniers jours, le WSJ a rapporté que les applications iOS et Android étaient en train d’engloutir certaines des données personnelles financières ainsi que d’autres relatives à la santé de millions d’utilisateurs. Voici un extrait de son rapport :

Des millions d’utilisateurs de smartphones confessent leurs secrets les plus intimes via les applications, y compris lorsqu’ils veulent travailler sur une perte de graisse au niveau de leur ventre ou sur le prix de la maison qu’ils ont décidé d’acheter le week-end dernier. D’autres applications connaissent le poids, la pression artérielle, les cycles menstruels et l’évolution de la grossesse de l’utilisateur(rice).

En d’autres termes, il s’agit de données personnelles que les utilisateurs ne voudraient pas forcément partager sur Facebook.

Néanmoins, selon le WSJ, des tests ont montré que le logiciel de Facebook collectait les données de nombreuses applications quelques secondes après leur saisie par l’utilisateur, sans laisser de trace d’une divulgation importante ou spécifique au niveau de ces dernières. C’était également le cas lorsqu’un utilisateur n’était pas connecté à Facebook pour s’authentifier, ou bien n’avait pas de compte Facebook au départ.

Les applications populaires téléchargées par des millions d’utilisateurs sont concernées, notamment :

  • Instant Heart Rate : HR Monitor d’Azumio (Moniteur de Fréquence Cardiaque), l’application de suivi des fréquences cardiaques la plus populaire de l’App Store. Elle envoie les fréquences cardiaques des utilisateurs immédiatement après une lecture.
  • Flo Period & Ovulation Tracker (Femme-Calendrier d’Ovulation Flo & Date de Règles) : ses développeurs affirment que les applications iOS et Android ont été téléchargées par plus de 70 millions d’utilisateurs dans le monde. L’application surveille le moment où les utilisatrices ont leurs règles et quand elles veulent tomber enceintes : des informations qu’elles ont transmis, ou pourraient encore le faire, auraient été partagées avec Facebook.
  • Realtor.com envoie à Facebook l’emplacement et le prix des annonces visualisées par un utilisateur, ainsi que celles marquées comme favorites, selon les tests de WSJ.

J’ai demandé à ces trois sociétés de commenter et je mettrai à jour cet article en fonction des retours. En ce qui concerne le gouverneur de l’État de New York, Cuomo, les conclusions de l’enquête du WSJ montrent ce qu’il a appelé…

“Les abus scandaleux en matière de protection de la vie privée” de Facebook

Cuomo a déclaré que le rapport du WSJ représente “une atteinte à la vie privée et une atteinte à la confiance des consommateurs” et que les actions de Facebook constituent un “abus scandaleux en matière de protection de la vie privée”.

Cuomo demande entre autres une enquête auprès du Département d’État de New York et du Département des Services Financiers. Il a également appelé les organismes de réglementation fédéraux concernés à “apporter leur soutien afin de mettre fin à cette pratique et à protéger les droits des consommateurs”.

Les New-Yorkais méritent de savoir que leurs données personnelles sont en sécurité et nous devons tenir les entreprises du web, quelle que soit leur taille, responsables vis-à-vis de la loi et de la protection des données des utilisateurs de smartphones.  

Selon l’agence Reuters, Facebook aurait précisé dans une déclaration qu’il aiderait les responsables de l’État de New York dans leur enquête, mais que le rapport du WSJ portait sur la manière dont les autres applications utilisaient les données personnelles des utilisateurs pour créer des publicités. D’après la déclaration de Facebook :

Comme [le WSJ] l’a signalé, nous demandons aux autres développeurs d’applications d’expliquer clairement aux utilisateurs les données personnelles qu’ils partagent avec nous et interdisons aux développeurs d’applications de nous envoyer des données sensibles. Nous prenons également des mesures pour détecter et supprimer les données qui ne devraient pas être partagées avec nous.

Une application tierce qui aurait violé la vie privée de Zuck

En parlant de partage inapproprié de données personnelles, les documents GitHub-doxed incluent des courriers électroniques internes entre les responsables de Facebook, qui montrent que l’un de ses propres dirigeants, à savoir le chef des chefs en personne, Mark Zuckerberg, a presque été victime d’une atteinte à la vie privée catastrophique provoquée par une application tierce.

Comme le rapporte The Guardian, dans un échange d’emails, l’ancien vice-président de Facebook, Michael Vernal, a évoqué un problème avec une application qui était sur le point de divulguer les résultats financiers de la société plus tôt que prévu.

Voici un extrait de cette discussion par email :

Écoutez, vous tous, NE DIVULGUEZ PAS CETTE HISTOIRE HORS DE CET ECHANGE… Je suis super, super sérieux. Je veux que nous suivions cela et que nous y répondions de manière urgente, mais je ne veux pas non plus que cette histoire se répande sur Facebook ou en dehors de ce fil de discussion. Je ne peux pas vous dire à quel point cela aurait été terrible pour nous tous si cela n’avait pas été traité rapidement.

Un autre document semble être un mémo de 8 pages daté de juillet 2012, intitulé “hautement confidentiel”, de Marne Levine, anciennement vice-président des politiques publiques mondiales de Facebook.

À un moment donné, Levine parle de plans pour la collecte de données personnelles sur des appareils Android, en écrivant :

Nous allons collecter les données de localisation des utilisateurs et les faire correspondre aux identifiants du site cellulaire. Ces informations seront stockées sous une forme anonyme, mais elles nous permettront de déployer à l’avenir des produits de type “téléphones polyvalents” géolocalisés. Deuxièmement, l’équipe en charge du développement souhaite commencer à collecter certaines informations de manière limitée mais qui indiqueront si les utilisateurs disposent d’un app store différent de celui de Google et quelles applications ils utilisent pour certaines fonctions Facebook (appareil photo, messages, etc.) à des fins d’analyse concurrentielle et d’amélioration du produit.

Six4Three : Le cadeau empoisonné

Ces emails ne sont que les derniers documents issus d’une action en justice intentée contre Facebook par le petit développeur Six4Three. Depuis 2015, Six4Three se bat devant un tribunal américain contre Facebook au sujet des accusations selon lesquelles la plateforme aurait désactivé l’API Friends Data afin de forcer les développeurs à acheter de la publicité, à transférer de la propriété intellectuelle ou même à vendre la société à Facebook à un prix avantageux.

En décembre, l’enquête du Parlement britannique sur les fake news a plongé la main dans le magma juridique de Six4Three et a publié une poignée d’emails personnels émanant des employés de Facebook, qui ont ensuite été publiés.

Six4Three a affirmé que la correspondance montrait que Facebook était non seulement conscient des implications de sa politique de confidentialité, mais les exploitait activement. Damian Collins, député, et son comité étaient particulièrement intéressés par les affirmations de l’entreprise de développement d’applications selon lesquelles Facebook avait délibérément créé et signalé efficacement le contournement utilisé par Cambridge Analytica pour collecter les données personnelles des utilisateurs.

Le Parlement britannique s’est inspiré des documents Six4Three pour préparer son rapport récemment publié sur la désinformation et les fake news. L’une de ses conclusions est que les entreprises telles que Facebook ne devraient pas être autorisées à se comporter comme des “gangsters numériques” dans le monde en ligne, se considérant comme étant au-dessus des lois et comme ayant une longueur d’avance sur ces dernières.

Est-ce que ces emails internes sont authentiques ?

Bien que le Guardian ait indiqué qu’il n’existait pas de vérification indépendante des emails internes, Facebook n’a pas nié pour autant leur authenticité. Au lieu de cela, il est resté fidèle à sa ligne à savoir : “ces derniers ne racontent pas toute l’histoire” dans cette déclaration, ci-dessous :

Comme les autres documents qui ont été triés sur le volet et publiés en violation d’une décision de justice de l’année dernière, ceux-ci, de par leur conception, racontent partiellement l’histoire et omettent une partie du contexte, pourtant importante. Comme nous l’avons dit, ces fuites sélectives sont le résultat d’un procès dans lequel Six4Three, créateur d’une application appelée Pikinis, espérait forcer Facebook à partager des informations sur les amis de ses utilisateurs. Ces documents ont été mis sous scellés par un tribunal californien, nous ne pouvons donc pas en dire davantage.


Billet inspiré de Facebook apps secretly sending sensitive data back to the mothership, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.