25 octobre 2011

Facebook vs. Big Brother


Les découvertes du jeune Max Schrems sont effarantes. Au mois de juillet, cet étudiant autrichien en droit a réussi à se procurer l’ensemble des données dont Facebook dispose sur lui. En épluchant les 1222 pages ( !!! ) de son dossier, il a constaté que le réseau social avait soigneusement archivé toutes les informations qu’il croyait avoir supprimées depuis belle lurette. Anciens pseudonymes, messages privés, demandes d’amis refusées... Il soupçonne même l’existence de fiches sur les internautes non inscrits à Facebook. Max Schrems a décidé de saisir les autorités compétentes en Irlande, où Facebook a son siège européen, pour demander une enquête approfondie. À 24 ans, il est en passe de devenir une sérieuse épine dans le pied du réseau qui valait 70 milliards de dollars. (Libération)

le site de max schrems http://www.europe-v-facebook.org/FR/fr.html

Annexes :

1) article Libération
2) article Le Figaro

1) Article Libération

Facebook : la mémoire cachée


Photo Glenn J. Mason, CC BY
L’appétit vorace de Facebook pour les données personnelles n’est un secret pour personne. Régulièrement, son estomac numérique gargouille auprès de ses membres pour réclamer son dû. « Donnez-moi votre numéro de mobile, que je puisse renvoyer votre mot de passe en cas d’oubli ! » « Expliquez-moi vos opinions politiques, que je puisse mieux cibler mes publicités ! » « Dites-moi ce que vous lisez, ce que vous écoutez, ce que vous regardez, ce que vous cuisinez, que vos amis puissent en profiter ! » Et la plupart des 800 millions d’inscrits, dociles, jettent leurs gros steaks de vie privée dans la gueule béante du réseau social. Ce que personne ne semble savoir, en revanche, c’est que le monstre est dépourvu de système digestif. Il se contente de stocker les données, toujours plus de données, sans jamais en effacer aucune.
Les découvertes du jeune Max Schrems sont effarantes. Au mois de juillet, cet étudiant autrichien en droit a réussi à se procurer l’ensemble des données dont Facebook dispose sur lui. En épluchant les 1222 pages ( !) de son dossier, il a constaté que le réseau social avait soigneusement archivé toutes les informations qu’il croyait avoir supprimées depuis belle lurette. Anciens pseudonymes, messages privés, demandes d’amis refusées... Il soupçonne même l’existence de fiches sur les internautes non inscrits à Facebook. Max Schrems a décidé de saisir les autorités compétentes en Irlande, où Facebook a son siège européen, pour demander une enquête approfondie. À 24 ans, il est en passe de devenir une sérieuse épine dans le pied du réseau qui valait 70 milliards de dollars.

« Statut : effacé »


« Je ne cherche aucun gain financier ou personnel. Je veux simplement pouvoir aller sur Facebook sans me soucier du traitement de ma vie privée », justifie-t-il. Lors de son échange universitaire en Californie, l’an dernier, il a eu l’occasion de rencontrer des responsables de Facebook et de parler avec eux des différences de législation entre les États-Unis et l’Europe en matière de protection de la vie privée. Les premiers sont très laxistes, et le vieux Continent beaucoup plus strict. « J’ai écrit un article sur ce sujet, et j’ai alors découvert que tous les utilisateurs de Facebook vivant en dehors des États-Unis et du Canada étaient liés par contrat à Facebook Irlande », une société « qu’ils ont probablement installée là pour bénéficier d’une fiscalité avantageuse ». Hors Amérique du Nord, donc, « Facebook dépend des lois européennes sur la vie privée. Et bien sûr, il ne les respecte pas. » La bataille commence.
Dégainant sa directive 95/46/CE qui garantit un tel droit à tout citoyen européen, Max Schrems écrit à Facebook pour réclamer l’accès à l’ensemble des données le concernant, via un formulaire très bien caché sur le site du réseau. Il doit insister un peu, et finit par recevoir sur CD-Rom un fichier PDF lourd de plusieurs centaines de mégaoctets et long de 1222 pages. Avec les quelques étudiants qui l’accompagnent dans sa démarche, il a créé le site « Europe versus Facebook » pour partager ses découvertes et expliquer aux internautes comment faire de même. Il y publie son dossier PDF après l’avoir anonymisé, et liste très précisément le type d’informations stockées par Facebook pour chacun de ses membres.

- Facebook connaît bien sûr la liste d’amis liée à un profil, mais conserve également le nom de tous les prétendants refusés. Puisque leur demande a été rejetée, il y a des chances non négligeables ces personnes soient totalement étrangères à l’internaute en question. Mais Facebook conserve tout de même, pour une durée indéterminée, la trace d’un lien virtuel entre ces individus étrangers l’un à l’autre.
- Même son de cloche du côté des « événements ». Facebook garde la liste complète des invitations adressées à un membre depuis la date de son inscription, quelle qu’ait été sa réponse. S’il a dit qu’il viendrait à la soirée, Facebook le sait. S’il a dit « non » ou « peut-être », idem. S’il n’a pas répondu parce qu’il ne se sentait pas concerné par cet événement, Facebook retient qu’il n’a pas répondu mais qu’il était invité.
- Les messages sont sans doute l’aspect le plus scandaleux du dossier. Courriers privés et tchats entre amis sont tous archivés dans le même système de messagerie sur Facebook et y restent pour toujours. Le bouton « Supprimer » n’a qu’une fonction cosmétique : il permet de masquer le message aux yeux de l’internaute, mais reste sur les serveurs de Facebook avec la mention « statut : effacé »
- Même subterfuge pour les statuts, les pokes... et les tags de photos : ils sont indélébiles sur les serveurs. Quand un membre de Facebook décide de marquer la présence d’un autre membre sur une photo, le consentement de ce dernier n’est pas requis. Il peut retirer le « tag » après coup s’il ne souhaite pas être associé à l’image, mais celui-ci devient simplement invisible sur le site. Facebook garde la trace du lien entre la personne et la photographie.
- Que de réjouissances, encore, au chapitre « Machines » du dossier ! « Facebook place un fichier “cookie” sur chaque ordinateur qui se connecte au site. Outre le traçage des internautes, ils s’en servent aussi pour créer des liens entre les utilisateurs et leurs ordinateurs. Ils ont une liste complète des ordinateurs qu’une personne a utilisés pour aller sur Facebook, et une liste de toutes les personnes ayant utilisé un même ordinateur pour aller sur Facebook. » En clair, Facebook sait qui fréquente qui, au travail ou à domicile, y compris parmi les personne n’étant pas « amies » sur le réseau social.
- Quant au chapitre « Checkins », il liste tout simplement toutes les connections d’un internaute à Facebook depuis son inscription. Chaque checkin est associé à un numéro unique, une date, une heure, une longitude et une latitude.

« Shadow profiles »

 À la page 3 de son dossier, Max Schrems a froncé les sourcils. « Il y avait des adresses e-mail que je n’ai jamais communiquées à Facebook, raconte-t-il à Ecrans.fr. Et pourtant il les connaissait ! » Étrange, très étrange. Il soupçonne l’outil « Rechercher des amis », qui permet d’importer son carnet d’adresses sur Facebook et donc de fournir au réseau ce genre de coordonnées. Une de ses connaissances aurait ainsi enrichi le profil de Schrems sans même en avoir conscience.
Puis il fait le lien avec une autre bizarrerie. « Quand on invite à un événement quelqu’un qui n’est pas sur Facebook, il faut rentrer son adresse e-mail. Cette personne reçoit alors un courrier l’encourageant à s’inscrire sur le réseau, avec le nom et la photo de tous les gens que Facebook pense qu’il peut connaître. » On comprend que Facebook ait fait le lien entre l’émetteur de l’invitation et son destinataire, mais comment peut-il suggérer dix autres connaissances potentielles ? Pour Max Schrems, il n’y a qu’une possibilité : ce non-inscrit dispose d’une fiche secrète sur Facebook — un « shadow profile » alimenté par les membres du réseau.
Quand on tape un nom dans le moteur de recherche, que l’on synchronise son mobile ou son carnet d’adresses avec le réseau social, toutes les informations grappillées seraient ainsi conservées et recoupées entre elles de manière automatique. Facebook pourrait ainsi piocher dans ces « shadow profiles » pour envoyer des e-mails très personnalisés aux internautes non inscrits.
Entre mi-août et mi-septembre, Max Schrems a adressé exactement 22 plaintes au Commissaire irlandais à la protection des données — une pour chaque point de fonctionnement de Facebook qu’il estime être illégal. Six d’entre elles concernent les informations que Facebook conserve alors que l’internaute les croit supprimées. D’autres dénoncent la reconnaissance faciale, le système de « tags » sur les photos ou encore les conditions d’utilisation du site, floues et trop souvent changées. Les fiches secrètes sur les non-membres du réseau sont particulièrement problématiques : « Facebook Irlande rassemble une quantité excessive d’informations sur les non-membres sans les en informer ni leur demander leur consentement », accuse la plainte.
Max Schrems est optimiste : « Dans une interview, le Commissaire a dit que si le contenu qu’on « supprime » de Facebook n’est pas réellement effacé, c’est bien illégal. Donc on est plutôt sûrs de nous : on va gagner cette bataille. » L’enquête a débuté cette semaine et les résultats devraient être connus d’ici la fin de l’année.

 

2) Article Le Figaro

Les étranges profils fantômes de Facebook


VIDÉO - Un étudiant autrichien attaque Facebook Europe après avoir découvert que le géant conservait sur ses serveurs tous les faits et gestes de ses utilisateurs et créait des profils fantômes pour attirer de nouveaux internautes. Explications.

Comment cet étudiant a-t-il fait cette découverte ?
Lors d'un échange universitaire en Californie, Max Schrems, étudiant autrichien en droit de 24 ans, a pu rencontrer des responsables de Facebook. «Je me suis rendu compte qu'ils prétendaient dialoguer avec les autorités des problématiques liées à la vie privée et aux données personnelles, mais qu'en fait ils ne le faisaient pas»,explique-t-il à 20minutes.fr. «Aux États-Unis, leur discours c'est un peu : 'Pourquoi on devrait y prêter attention? Les Européens sont mignons avec leurs lois'»
Une fois rentré en Autriche, le jeune homme a demandé à Facebook de lui procurer l'ensemble des données qu'il garde sur lui. Le formulaire de demande est bien caché sur le site de Facebook, et précise que le demandeur doit invoquer une loi relative à la protection des données pour que Facebook réponde à sa demande. Tous les utilisateurs de Facebook en Europe étant liés au siège européen de la firme, situé en Irlande, Max Schrems a brandi une directive européenne pour obtenir une copie du précieux fichier.
Ce dernier lui est arrivé par courrier sous la forme d'un CD contenant un fichier PDF de plus de 1200 pages.
Qu'a découvert exactement Max Schrems ?
En examinant minutieusement les 1200 pages de document, l'étudiant a découvert que le site gardait sur ses serveurs, pour un temps limité ou indéfiniment, tous les faits et gestes de ses utilisateurs : statuts, commentaires, pokes, «j'aime», messages privés, messages instantanés, demandes d'amis (acceptées et refusées), invitations (acceptées et refusées), jours, heures et lieux de connexion, photos (ajoutées par soi-même ou par les autres), liens postés ...
Max Schrems a également noté que le site gardait en mémoire des éléments qu'il avait pourtant supprimés de son profil (photos, statuts, commentaires, messages privés etc). Même si ces derniers n'apparaissent plus sur son profil, Facebook n'a pas effacé ces données de ses serveurs : elles sont simplement devenues invisibles. Ceci se reproduit même pour les messages privés ou les conversations instantanées que l'étudiant avait supprimés de son profil.
Plus inquiétant encore, Facebook compile de nombreuses informations ... sur des personnes qui ne sont pas inscrites sur Facebook. C'est ce que Max Schrems nomme les «profils fantômes». L'existence de telles pratiques est confirmée par ce formulaire bien caché qui propose aux non-utilisateurs «que Facebook cesse de stocker (leurs) données dans sa base de données».
Comment Facebook peut-il créer des profils fantômes ?
Les utilisateurs de Facebook sont régulièrement invités à retrouver des gens qu'ils connaissent sur le réseau social en utilisant leur(s) adresse(s) mail. L'outil «recherche d'amis» demande à l'utilisateur de donner son adresse mail et son mot de passe. Facebook peut alors «aspirer» le carnet d'adresses de l'internaute afin de le comparer à sa base de données d'utilisateurs : s'il y a correspondance, l'outil suggérera d'ajouter le contact retrouvé à la liste d'amis.
Problème, plutôt que de supprimer les adresses mails qui n'ont rien donné, Facebook les garde précieusement. Cela lui permet de créer une base d'utilisateurs potentiels qu'il va pouvoir mailer. Et cette dernière va vite s'enrichir de numéros de portable (synchronisation de l'application Facebook avec le carnet d'adresse d'un smartphone) ou de photos ( «tag» de photos, Facebook permettant d'identifier les personnes non-inscrites à son service). Cette technique permet également au réseau social d'obtenir toutes les adresses mails, privées ou professionnelles, de ses utilisateurs, sans leur accord.
Quel intérêt a Facebook de garder toutes ces données ?
L'intérêt est à la fois marketing, sécuritaire et publicitaire. Plus Facebook obtient de données précises sur ses utilisateurs, plus l'entreprise peut les revendre cher (de façon anonyme) aux annonceurs, qui pourront ainsi faire de la publicité ciblée en fonction de l'âge, du sexe, de la ville, des hobbies de l'internaute ciblé. Or Facebook vit essentiellement de cette activité.
Garder en mémoire les adresses IP de connexion des utilisateurs de Facebook permet aussi à la société de repérer plus facilement les tentatives de piratage de compte. Si un compte Facebook, consulté en temps normal depuis la France, tente d'être ouvert depuis la Chine, le réseau social demandera automatiquement plusieurs renseignements supplémentaires (date de naissance par exemple) afin d'être sûr de l'identité de la personne qui tente de se connecter.
Même raisonnement pour les refus d'ajouts d'amis. Si un compte nouvellement crée est refusé à de multiples reprises par des utilisateurs n'ayant aucun lien entre eux, il y a de fortes chances qu'il s'agisse d'un faux compte ou d'un harceleur. Les algorithmes du réseau social peuvent donc ainsi repérer plus facilement les personnes nuisibles.
Quant aux comptes fantômes, ils permettent d'améliorer de façon substantielle l'outil «suggestion d'amis», et d'attirer plus d'internautes vers le réseau social. Imaginons un internaute qui n'est pas inscrit sur Facebook. Son adresse mail a pu être «aspirée» par le réseau social grâce à ses amis ou collègues de bureau qui ont utilisé l'outil de recherche d'amis. Cet internaute va alors recevoir un mail lui proposant de rejoindre Facebook ... accompagné des photos de plusieurs de ses amis présumés. Redoutablement efficace pour obtenir une nouvelle inscription.
Facebook a-t-il réagi officiellement ?
Facebook a communiqué deux déclarations officielles au Guardian. Dans ces dernières, le réseau social explique que la plupart des données communiquées à Max Schrems «ne sont pas des données personnelles», et qu'il n'y a donc pas lieu à polémiquer. Facebook estime ainsi que les adresses IP de connexion ne font pas parti des données personnelles, ce que contestent les différentes Cnil européennes.
L'affaire va-t-elle être portée en justice ?
Max Schrems a saisi l'équivalent irlandais de la Cnil en déposant un total de vingt-deux plaintes listant les manquements de Facebook à la législation européenne de protection des données personnelles. «Il n'existe aucune garantie que les forces de l'ordre américaines ou les autorités européennes ne puissent pas accéder à ces informations sensibles sur les citoyens européens», explique-t-il dans une de ses plaintes, considérant que «Facebook Irlande ne garantit pas une sécurité suffisante de ces données».
L'étudiant autrichien a également ouvert un site, Europe vs Facebook, où il incite les internautes à réclamer eux-aussi leur dossier personnel au réseau social. Il y liste égalementl'ensemble de ses revendications. Le jeune homme réclame que Facebook soit plus transparent «quant à l'utilisation qu'il fait des données personnelles», que l'usager doive «sans aucune équivoque, consentir à n'importe quelle utilisation de ses données, après avoir été correctement informé sur la forme spécifique d'utilisation de celles-ci», que Facebook stoppe les profils fantômes, et permette facilement aux internautes «de se débarrasser définitivement des données personnelles que nous publions sur Facebook.»
Une telle action n'est pas vaine. En Allemagne, la Cnil locale a remporté une victoire contre les profils fantômes. Désormais, les utilisateurs du réseau social choisiront eux-mêmes à qui ils veulent envoyer une invitation à rejoindre Facebook. L'importation d'un carnet d'adresse mail ou la synchronisation d'un téléphone sera précédée d'un message d'avertissement. Les non-utilisateurs du réseau social recevant une invitation devront également savoir pourquoi ils ont été contactés. Ils auront également la possibilité de bloquer tous les mails provenant de Facebook. Mais comme le note le Spiegel, «Facebook n'a pas voulu préciser si ces nouvelles règles ne s'appliqueront qu'à l'Allemagne ou à d'autres pays.»

Aucun commentaire:

Enregistrer un commentaire

Aidez-moi à améliorer l'article par vos remarques, critiques, suggestions... Merci beaucoup.

Follow on Bloglovin
 

Archives (2011 à 2014)

Vous aimerez peut-être :

Related Posts Plugin for WordPress, Blogger...