AccueilArchive

Facebook aurait fourni à certaines entreprises un “accès VIP” aux données des utilisateurs

Facebook aurait fourni à certaines entreprises un “accès VIP” aux données des utilisateurs

Image :

Crédit: Flickr/ jdlasica

avatar

Par Thibault Prévost

Publié le

Les emails des dirigeants de Facebook publiés par le Parlement britannique révèlent que certaines entreprises ont bénéficié d’accès privilégiés aux données.

À voir aussi sur Konbini

(© Flickr/ jdlasica)

L’étrange intrigue triangulaire entre Facebook, le Royaume-Uni et la start-up Six4Three n’en finit plus de nettoyer les placards à cadavres du plus grand réseau social du monde. Depuis le 24 novembre et la révélation par The Observer d’un imbroglio judiciaire entre Ted Kramer, PDG de la start-up Six4Three poursuivi par la justice britannique alors que celui-ci poursuit simultanément Facebook aux États-Unis, le Parlement britannique a pu mettre la main sur 250 pages de documents internes à Facebook (volontairement offerts aux autorités par l’homme d’affaires “paniqué”), qui se révèlent être une véritable mine d’or.

Cette correspondance entre Mark Zuckerberg et ses proches lieutenants, labellisée “hautement confidentiel” et datée de 2012 à 2015, nous a déjà appris que Facebook était au courant des intrusions russes dans ses bases de données depuis 2014 – bien avant que l’entreprise ne le reconnaisse publiquement – et que le réseau social avait réfléchi, un temps, à vendre aux entreprises tierces un accès aux données de ses utilisateurs (via une plateforme appelée Graph API) moyennant 250 000 dollars. Plus étonnant, le site spécialisé Ars Technica avait réussi à dénicher l’information en effectuant un copier-coller d’un des documents confidentiels “expurgés” dans un simple éditeur de texte. Une gaffe invraisemblable de plus.

Une liste de VIP aux super-pouvoirs intrusifs

Selon les informations publiées par le site le 29 novembre, ces parties mal expurgées suggéraient que Facebook avait bel et bien offert une sorte d'”accès VIP” à ses données utilisateurs, réservé à quelques grandes entreprises comme Netflix, Nissan, Royal Bank of Canada, Fiat/Chrysler, Lyft ou Airbnb. Des entreprises qui ont donc eu accès – et c’est toujours probablement le cas – à la Graph API v1.0, l’interface utilisée par les développeurs pour observer les comportements et relations des utilisateurs via un “graphique social” ou collecter de grands volumes de données sur ceux-ci ou sur leurs communautés. Posts et photos, nom, sexe, cursus scolaire, religion, ville d’origine et préférences de navigation (grâce au fameux “Facebook Pixel” implanté dans les pages Web) : l’API Graph permet d’outrepasser la protection publique d’un profil pour tout savoir sur les amis de vos amis.

En 2015, alors que Facebook fermait l’accès à ses propres développeurs lors des premiers soupçons sur les malversations de Cambridge Analytica, ces permissions spéciales ont été renouvelées, rapportait le Wall Street Journal en juin. Tout porte à croire, enfin, que ce service soit entièrement gratuit pour ces clients privilégiés, Facebook n’ayant semble-t-il jamais mis en place son hypothétique système d’accès payant à la base de données personnelles. En réponse, l’entreprise de Palo Alto affirmait le 29 novembre que la “whitelist” décrite dans les documents saisis chez Six4Three était (presque) entièrement fausse, excepté pour Nissan et Royal Bank of Canada.

L’accès aux données, un levier d’influence sur les entreprises

Un résumé des informations exhumées par le Parlement britannique, publié mercredi 5 décembre par le responsable de l’investigation parlementaire Damian Collins, semble cependant confirmer l’existence de cette liste, qui contient bel et bien Netflix, Airbnb et Lyft et y ajoute les sites de rencontres Tinder et Badoo. Collins confirme également dans son rapport qu’après 2015, Facebook “a maintenu l’accès aux données des amis” des utilisateurs ayant “aimé” les pages des entreprises de cette “whitelist”. “Il n’est pas certain que le consentement de l’utilisateur ait été présent”, conclut Collins, “et la manière dont Facebook décide quelles entreprises font partie de la whitelist ou non n’est pas claire.”

Outre la confirmation de cette liste VIP, l’enquête de Damian Collins nous apprend également que Mark Zuckerberg et son vice-président Justin Osofsky se sont également entendus, le 24 janvier 2013, pour retirer Vine de cette liste de VIP, l’application de courtes vidéos lancée par Twitter étant considérée comme un concurrent aux services de Facebook. Plus généralement, Collins estime que Facebook s’est servi de cette liste VIP comme d’un levier de pression sur les grands développeurs d’applications pour “obtenir une augmentation de revenu”, en les menaçant de “limiter leur accès aux données des amis”. Une nouvelle preuve que chez Facebook, rien n’est jamais réellement gratuit.

L’analyse détaillée des 250 pages de documents confidentiels nous apprend que Facebook a fait son possible pour cacher à ses utilisateurs et à ses développeurs son péché mignon de données personnelles. Selon Collins, le réseau social a “fait en sorte qu’il soit aussi difficile que possible” d’apprendre qu’il récoltait les métadonnées d’appels et de messages des utilisateurs Android. Une politique de surveillance des comportements mobiles confirmée avec le rachat de l’application Onavo, qui selon Collins a aidé Facebook “à décider quelles entreprises acquérir et quelles entreprises considérer comme menaces.” Tout un écosystème du monopole, bâti avec minutie. Enfin, des emails datés de 2012 prouvent que Mark Zuckerberg a bel et bien réfléchi à rendre l’accès à Facebook payant pour ses utilisateurs, et ça ne surprendra personne.

La publication de documents, un intérêt public

En réaction à cette nouvelle publication de documents confidentiels, Facebook a contre-attaqué au micro de la BBC en rappelant ce qui est selon elle une information fondamentale : “comme toute entreprise, nous avons eu des conversations en interne concernant la meilleure manière de bâtir un modèle économique durable pour notre plateforme. Mais que ce soit clair : nous n’avons jamais vendu les données personnelles des gens”, a indiqué une porte-parole le 5 décembre. Fait rare, MarkZuckerberg s’est également fendu d’un post sur son réseau social, pour marteler “nous n’avons jamais vendu les données de personne”. Techniquement, ils ont parfaitement raison : après tout, les entreprises de cette whitelist ont eu accès à l’API Graph gratuitement…

Pendant que le plus grand réseau social du monde essaie d’éteindre l’incendie en public, ses équipes font tout pour contenir sa propagation. La semaine dernière, l’entreprise s’opposait fermement à la publication des documents saisis par la justice britannique, invoquant le secret de l’instruction vis-à-vis de la procédure en cours aux États-Unis. Un argument vite désamorcé par le député Collins, qui avait alors écrit à Facebook – sur Twitter – que la divulgation desdits documents représentait un intérêt public. Les informations exhumées lui donnent pour le moment raison. À l’heure actuelle, Damian Collins et ses étranges tactiques parlementaires (il avait notamment fait envoyer un homme armé chez Ted Kramer pour récupérer les documents, dans la légalité la plus totale) sont ce qui se fait de mieux après un lanceur d’alerte.