Selon New Scientist, l’application de quiz myPersonality, gérée par deux chercheurs de Cambridge, aurait exposé les données de 3 millions d’utilisateurs.
À voir aussi sur Konbini
Chez Facebook, quand il s’agit de données privées, un Cambridge peut parfois en cacher un autre. Le 14 mai, une enquête signée New Scientist révèle l’existence d’une seconde fuite de données via un questionnaire de personnalité, appelé myPersonality et mis en place par deux chercheurs de l’université de Cambridge. Au total, les données personnelles de plus de 3 millions d’utilisateurs auraient été exposées sur Internet par manque de rigueur dans les protocoles de sécurité.
Selon New Scientist, le mode opératoire est similaire à celui utilisé par Cambridge Analytica pour siphonner les données de 87 millions d’utilisateurs courant 2014 via le quiz thisisyourdigitallife, à ceci près que les modifications opérées par Facebook la même année empêchent désormais les développeurs de construire des “aspirateurs à données” d’une telle ampleur. L’application incriminée, myPersonality, permettait aux utilisateurs de répondre à des questionnaires pour obtenir des avis sur des traits de leur personnalité.
Les données récoltées filaient ensuite vers deux chercheurs du centre de psychométrique de l’université de Cambridge (David Stillwell et Michal Kosinski, selon New Scientist), qui les anonymisaient, les stockaient sur une plateforme et permettaient à d’autres chercheurs d’y accéder pour leurs recherches. Parmi les 6 millions d’utilisateurs ayant téléchargé le quiz, la moitié d’entre eux ont explicitement accepté que leurs données soient récoltées pour le projet de recherche.
En tout, la plateforme a fonctionné pendant quatre ans, et 280 personnes en provenance de 150 institutions et entreprises (Google, Facebook, Microsoft ou encore Yahoo) auraient pioché dans la base de données pour mener des travaux de recherche. Problème : les mesures de protection de ces données étaient totalement insuffisantes.
Identifiants dans la nature, données identifiables…
Toujours selon New Scientist, les protocoles de sécurité du site qui hébergeait les données étaient particulièrement poreux et les procédures d’anonymisation étaient facilement réversibles. Pour accéder aux données, en théorie, les chercheurs intéressés devaient s’enregistrer en tant que collaborateur du projet pour obtenir des identifiants. Pas d’identifiant, pas d’accès. Facile. Sauf que depuis quatre ans, des identifiants d’accès traînaient sur la plateforme GitHub, accessibles “avec une simple recherche”, après qu’un prof d’université a choisi de les fournir à ses étudiants.
Grâce à ces codes, n’importe qui pouvait avoir accès aux scores de personnalités de cinq caractéristiques majeures (comme le taux de névrose, de conscience ou encore d’amabilité), mais aussi à l’âge, au sexe, à la localisation et au statut relationnel des 3 millions de répondants. Pour 150 000 d’entre eux, leur historique de statuts Facebook était également disponible (soit 22 millions de statuts, quand même).
Pire, ces données intimes, anonymisées au premier regard, étaient en fait liées entre elles par des empreintes uniques. Or, avec les bons outils informatiques, il est extrêmement facile d’identifier quelqu’un à partir d’un âge, d’un statut relationnel et d’une date, par exemple, avant de lier l’identité récupérée aux réponses fournies dans le quiz et obtenir une ébauche de profil psychologique d’un utilisateur. Le tout sur un serveur ouvert aux quatre vents pendant 4 ans. Bref, on est loin d’un dataset protégé et anonymisé correctement.
La responsabilité de personne
Du côté de Facebook, on répond que l’entreprise a découvert l’existence de l’application à la suite du scandale Cambridge Analytica, et que myPersonality a été suspendue de la plateforme le 7 avril dernier avant une possible suppression en fonction des nouveaux résultats de l’enquête. Coïncidence, les révélations de New Scientist sont tombées le jour où le réseau social annonçait la suspension de plus de 200 applications de sa plateforme, suspectées de malversations au regard des données personnelles des utilisateurs.
Pour David Stillwell, contacté par New Scientist, le rôle de Facebook est cependant plus trouble qu’il n’y paraît. Selon lui, le réseau social était au courant des activités de myPersonality depuis 2011, savait que les chercheurs travaillaient pour une entreprise de ciblage publicitaire (Cambridge Personality Research) basée sur l’exploitation des données du quiz, et s’était même entretenu avec Stillwell et Kosinski pour en discuter.
Mieux : en 2013, Cambridge Analytica avait approché l’entreprise pour obtenir l’accès à la base de données, mais Stillwell aurait refusé à cause des objectifs politiques de la firme. Ce qui n’empêchera pas Aleksandr Kogan, l’homme derrière Cambridge Analytica, d’apparaître en tant que collaborateur de la firme jusqu’en 2014.
De son côté, l’université de Cambridge joue l’ignorance, expliquant que l’application a été créée avant que les chercheurs ne rejoignent ses rangs et qu’elle n’avait donc pas subi leur processus de validation éthique. À en croire les différents acteurs, la fuite de données n’est de la responsabilité de personne, les uns assurant avoir fait le nécessaire pour les protéger, les autres jurant avoir répondu de manière appropriée et les derniers promettant qu’ils en ignoraient l’existence. Une journée comme une autre dans la galaxie des aspirateurs de données. Impossible de savoir combien d’entités ont étudié ces données et combien d’entre elles ont réussi à les désanonymiser.
