Vous voulez savoir ce que Mark Zuckerberg et ses collaborateurs pensent vraiment de nous, les utilisateurs ?
Préparez-vous à le découvrir et à pleurer : contre la volonté du CEO de Facebook, l’enquête du Parlement britannique sur les fake news a publié une correspondance confidentielle entre Zuck et ses collaborateurs.
Cette correspondance contient des informations plutôt surprenantes en matière de gestion des données utilisateur. Mais d’abord, comment le comité Digital, Culture, Media, and Sport (DCMS) du Parlement, qui supervise les enquêtes sur les pratiques de Facebook en matière de respect de la vie privée, a-t-il pu mettre la main dessus ?
Eh bien, tout commence avec des photos de maillots de bain. Six4Three, une application qui a aujourd’hui disparu, recherchait les photos en maillot de bain des utilisateurs de Facebook, et s’est retrouvée embarquée dans une procédure judiciaire, qui a duré plusieurs années, l’opposant à Facebook.
Six4Three prétend que Facebook a soudainement changé les conditions d’utilisation permettant aux développeurs d’avoir accès à l’API “Graph” de Facebook de manière générale, et à la fonctionnalité Photos Endpoint en lien avec les Amis, en particulier. Six4Three a créé une application appelée “Pikinis” qui recherchait spécifiquement des photos de bikini sur les pages des amis des utilisateurs de Facebook. En avril 2015, Six4Three a intenté une action en justice contre Facebook, affirmant que l’interruption soudaine de l’accès à Facebook ruinait la “valeur” intrinsèque de l’application et de la société.
Selon un document fourni au tribunal la semaine dernière, le directeur général de Six4Three, Ted Kramer, a rencontré le député Damian Collins dans son bureau de Londres le 20 novembre. Collins a déclaré à Kramer qu’il faisait actuellement l’objet d’une enquête, qu’il était accusé d’outrage au Parlement et qu’il risquait potentiellement une amende et une peine d’emprisonnement.
Kramer aurait alors “paniqué” et complètement vidé une clé USB avant de fouiller frénétiquement dans son compte Dropbox à la recherche de fichiers pertinents obtenus dans le cadre d’une procédure civile. Il a recherché tous les fichiers dont les noms semblaient pertinents, les a transférés sur la clé USB en question sans même les ouvrir et a remis celle-ci, malgré le fait que Facebook ait qualifié ces documents de hautement confidentiels et “en dépit des déclarations explicites des avocats dans les communications susmentionnées », selon le dépôt fait la semaine dernière.
En résumé, c’est à peu près tout. Consultez les articles d’Ars Technica et de The Observer, qui ont fait la une, pour plus de détails sur l’affaire et l’incident : il s’agit vraiment d’un sacré imbroglio juridique lorsqu’il s’agit des limites juridiques des autorités britanniques et de sociétés internationales comme Facebook.
Dans l’état actuel des choses, Facebook a toujours refusé de comparaître devant des députés pour expliquer les agissements de l’entreprise concernant les fake news. Le député Collins, président du comité, a déclaré que l’affaire Six4Three aux États-Unis a offert une autre option pour obtenir les informations recherchées par le comité. The Observer l’a cité :
Nous avons suivi cette affaire judiciaire aux États-Unis et nous pensions que ces documents contenaient des réponses à certaines de nos questions au sujet de l’utilisation des données, en particulier par les développeurs externes.
Concernant le scandale Cambridge Analytica lié aux données utilisateur, Six4Three souligne que la correspondance montre que Facebook était non seulement conscient des implications au niveau de sa politique de confidentialité, mais les a exploitées activement. Collins et son comité étaient particulièrement intéressés par les affirmations de la société de développement d’applications selon lesquelles Facebook avait délibérément créé et sciemment signalé le contournement utilisé par Cambridge Analytica pour collecter les données des utilisateur.
Mercredi, la commission parlementaire a publié environ 250 pages de cette correspondance, dont certaines portant la mention “hautement confidentiel”.
Voici les principaux problèmes recensés dans la correspondance mise en évidence par le député Collins dans sa note d’introduction :
- En 2014/2015, Facebook a limité les données utilisateur relatives aux amis que les développeurs pouvaient voir. Quoi qu’il en soit, il a gardé une whitelist de certaines entreprises qui était autorisées à conserver un accès complet aux données d’amis. Collins a déclaré qu’il n’était “pas clair s’il existait un consentement de l’utilisateur pour cela, ni comment Facebook a décidé quelles entreprises devaient être sur cette whitelist“.
- Collins a déclaré que Facebook savait que modifier ses politiques au niveau du système mobile Android pour permettre à l’application Facebook de collecter un enregistrement des appels et des SMS des utilisateurs serait sujet à controverse … le plan était donc de le cacher en profondeur. “Pour minimiser la mauvaise publicité, Facebook avait prévu de faire en sorte que les utilisateurs ne puissent pas facilement découvrir qu’il s’agissait de l’une des caractéristiques sous-jacentes de la mise à niveau de leur application”, a déclaré Collins.
- Vous vous souvenez peut-être que jusqu’à tout récemment, Facebook incitait les gens à télécharger une application pour VPN (Virtual Private Network), Onavo, acquise en 2013 à des fins de “protection”… sans mentionner qu’elle envoyait à Facebook les habitudes d’utilisation de l’application par les utilisateurs, et ce même lorsque le VPN était désactivé. En août, Apple a suggéré à Facebook de retirer Onavo de l’App Store pour violation de la vie privée. Collins a écrit que, apparemment à l’insu des utilisateurs, Facebook utilisait Onavo pour mener des enquêtes mondiales sur les applications mobiles utilisées par ses clients. Ensuite, il a utilisé ces données utilisateur pour déterminer non seulement le nombre de personnes ayant téléchargé des applications, mais aussi leur fréquence d’utilisation : des connaissances utiles pour décider “quelles entreprises acquérir et lesquelles traiter avec méfiance”, a écrit Collins.
- Les fichiers contiennent des preuves que, lorsque Facebook a adopté une position agressive à l’égard d’applications et leur a interdit l’accès aux données utilisateur, des entreprises ont parfois tout simplement cessé leurs activités !
- Douze documents, concernant Six4Three, comprennent des discussions sur les entreprises figurant sur la whitelist autorisant l’accès aux données utilisateur des amis. Les entreprises figurant sur la whitelist comprennent le service de rencontres Badoo, son produit dérivé Hot or Not et l’application de rencontres Bumble, dans laquelle Badoo avait investi, Lyft, Netflix, et Airbnb. Toutefois, Facebook n’a pas ajouté à la whitelist les entreprises les plus anciennes : elle a refusé l’accès à l’API offrant les données utilisateur des amis à des sociétés telles que Ticketmaster, Vine et Airbiquity, une entreprise de voitures connectées.
Vous trouverez ci-dessous l’un des nombreux extraits des emails publiés mercredi et qui montrent comment Facebook a ciblé les applications concurrentes. Il s’agit de la suppression de l’accès aux données utilisateur des amis sur Vine, le service de vidéo courte de Twitter :
Email Facebook du 24 janvier 2013. Justin Osofksy (vice-président de Facebook) :”Twitter a lancé Vine aujourd’hui. Elle vous permet de filmer plusieurs vidéos courtes pour créer une seule vidéo de 6 secondes. Dans le cadre de leur NUX, vous pouvez trouver des amis via FB. À moins qu’il n’y ait des objections, nous allons fermer l’accès à l’API des amis dès aujourd’hui. Nous avons préparé une communication réactive et j’informerai Jana de notre décision”.
Mark Zuckerberg :”Ouais, allez-y !”.
Et voici l’extrait d’une discussion datant du 4 février 2015 concernant une autorisation à donner à une application Android sur Facebook pour qu’elle puisse lire les logs des appels de manière à ce que les utilisateurs en question ne voient apparaître aucune boîte de dialogue demandant leur permission :
Michael LeBeau (chef de produit Facebook) :”Salut, comme vous le savez, l’équipe développement prévoit d’envoyer une mise à jour des autorisations sur Android à la fin du mois. Elle veut inclure l’autorisation “lire le log des appels”, ce qui déclenchera ainsi la boîte de dialogue des autorisations Android lors de la mise à jour, obligeant les utilisateurs à accepter cette dernière. Elle fournira ensuite une option in-app à activer dans NUX pour obtenir une fonctionnalité qui vous permettra de télécharger en continu vos SMS et l’historique de vos appels sur Facebook afin d’améliorer, entre autres, PYMK, le calcul des coefficients, le classement des flux, etc. Il s’agit d’une décision risquée d’un point de vue communication, mais il semble que l’équipe développement soit missionnée pour le faire, et le fera effectivement”.
Yul Kwon (chef de produit Facebook) : “L’équipe développement explore actuellement une option qui consiste à ne demander qu’une seule autorisation de lecture du log des appels, et à mettre en suspens les autres autorisations”. “Sur la base des tests initiaux, il semble que cela nous permettrait de mettre à niveau les utilisateurs sans les soumettre à une boîte de dialogue d’autorisation Android”. “Il s’agira tout de même d’un changement radical, car les utilisateurs seront obligés de cliquer pour mettre à niveau, mais aucun écran de dialogue relatif à une autorisation apparaîtra”.
Facebook a déclaré à la BBC que les documents avaient été présentés de manière “très trompeuse” et nécessitaient davantage de contexte. Elle a cité un porte-parole de Facebook :
Nous mettons en suspens les modifications apportées à la plateforme en 2015, afin d’empêcher une personne de partager les données utilisateur de ses amis avec les développeurs.
Comme toute entreprise, nous avons eu de nombreuses conversations en interne sur les différentes manières de construire un modèle commercial durable pour notre plateforme.
Mais soyons clairs : nous n’avons jamais vendu de données personnelles.
Zuckerberg a également posté une réponse sur sa page Facebook. Dans ce document, il a mis en contexte les décisions de la société, y compris ses efforts pour lutter contre les “applications douteuses” telles que le quiz qui a conduit à la situation de Cambridge Analytica.
Je sais que des regards dubitatifs sont nombreux à observer notre manière de gérer nos systèmes.
Ce comportement est justifié, compte tenu du grand nombre de personnes qui utilisent nos services dans le monde entier, et il est normal de nous demander constamment d’expliquer ce que nous faisons. Mais il est également important que la couverture médiatique offerte et relatant nos agissements, y compris l’explication de ces documents internes, ne fausse pas nos actions ou nos motivations. Il s’agissait d’un changement important pour protéger notre communauté et l’objectif a été atteint.
Billet inspiré de Facebook staff’s private emails published by fake news inquiry, sur Sophos nakedsecurity.