Facebook constitue des « dossiers fantômes » sur les internautes

Quand vos contacts ont plus de pouvoir que vous sur vos données 105
Par
le jeudi 27 juin 2013 à 11:59
Vincent Hermann

Le bug de Facebook ayant provoqué une fuite de données est plus grave que prévu. La société Packet Storm Security (PSS), qui a découvert la faille, a comparé les explications fournies par le réseau social à ses propres résultats et a découvert plusieurs vérités cachées aux conséquences relativement effrayantes pour la vie privée.

fantome

Des dossiers fantômes créés à l'insu des internautes

Il y a quelques jours à peine, Facebook communiquait ouvertement sur un problème rapporté par une société de sécurité, PSS. Il y était confirmé que l’outil de récupération des données du compte pouvait contenir des informations d’autres personnes ne figurant même pas dans les contacts. Ces données personnelles pouvaient concerner l’adresse email ainsi que le numéro de téléphone. Selon Facebook, seules six millions de personnes (sur plus d’un milliard) étaient concernées et pour un nombre restreint d’informations.

Pour PSS, le problème est double : non seulement Facebook a menti en abaissant volontairement les chiffres fournis, mais le réseau social constitue également des « dossiers fantômes » sur les internautes, y compris ceux qui n’ont pas de compte. Ces dossiers rassemblent un très grand nombre d’informations sur les habitudes de l’utilisateur, en particulier quand il relie Facebook à d’autres services, sites, applications, etc. Un élément crucial pour mieux appréhender la faille de sécurité de Facebook et les conséquences pour le respect de la vie privée.

Ces dossiers s’alimentent à travers de nombreuses sources de données et représentent le vrai pivot de la recherche de contacts et des suggestions. Par exemple, quand un utilisateur envoie à Facebook son carnet d’adresses, il lui confie des informations sur des personnes qui n’ont potentiellement pas de compte. Qu’à cela ne tienne, Facebook les stocke et s’en sert pour son moteur de recommandation. Ces dossiers sont également constitués pour des internautes n'ayant pas de compte Facebook.

Un problème plus grave qu'annoncé initialement

C’est ici que la faille de sécurité intervient. Quand un utilisateur va se servir de l’outil DYI (Download Your Information), il va récupérer un fichier nommé adressbook.html et contenant l’ensemble des informations sur ses contacts. Mais à cause du bug, des informations croisées entre les dossiers fantômes ont provoqué des glissements. L’opération aboutissait donc à des archives contenant des informations de contacts éloignés, voire totalement inconnus.

Pour Packet Storm Security, la situation est en outre nettement plus sérieuse que Facebook ne veut bien l'avouer, et ce pour deux raisons. D’une part, les chiffres avancés sont plus faibles que ceux trouvés par la société de sécurité. Dans un cas par exemple, Facebook avertissait par email que l’adresse email avait été fournie par erreur à une personne, alors que PSS en avait trouvé quatre. Dans un autre cas, Facebook avertissait de trois éléments quand PSS en trouvait sept. Interrogé par l’entreprise à ce sujet, Facebook a simplement répondu qu’ils n’étaient pas au courant de ce souci car aucun retour n’avait été fait en ce sens. Mais les utilisateurs ne peuvent évidemment pas faire de retour : ils n’ont aucun moyen de savoir si le chiffre avancé par le réseau social correspond bien à la réalité.

Aucun contrôle sur les données stockées chez les autres

D’autre part, les dossiers fantômes posent un évident problème de respect de la vie privée. D’abord parce que les utilisateurs n’ont pas de contrôle sur ce qui est fait en arrière-plan, les opérations étant automatisées et hors de leur portée. Ensuite, et surtout, parce que ces dossiers stockent chez les contacts des informations personnelles. Or, que se passe-t-il si l’utilisateur souhaite disparaître de Facebook ? Il lance la procédure de suppression du compte, ce qui survient quelque temps après, mais sans aucun pouvoir sur les données personnelles qui se trouvent chez ses contacts.

C’est ce qu’explique PSS dans un billet sur son blog : Facebook ne lie pas les informations personnelles du compte à celles qui sont stockées ailleurs. Interrogée sur ce problème, la firme a répondu qu’il n’était pas question de donner un quelconque pouvoir sur les données appartenant à d’autres comptes. Conséquence ubuesque, un contact aura plus de pouvoir sur vos données personnelles que vous-même. Exemple : vous possédez une nouvelle adresse email ou un nouveau numéro de téléphone que vous n’avez pas confié à Facebook. Mais si un de vos amis à envoyé son répertoire au service et que la fiche vous concernant contenait la fameuse information, Facebook pourra la stocker. Ceci à votre insu, et sans rien pouvoir y faire. En outre, tant que vos contacts resteront sur Facebook, l’information continuera à vivre et à pouvoir servir.

Violation de vie privée

Le réseau social estime que la situation est très bien ainsi et ne compte pas agir. La firme va plus loin : les contacts importés par un utilisateur deviennent des données personnelles pour ce même utilisateur. Traduction, cet utilisateur fait ce qu’il veut de ses données et ce n’est pas à Facebook de l'en empêcher. Le réseau social va même plus loin en répondant à PSS qu’agir en ce sens serait une violation du premier amendement de la Constitution américaine, autrement dit de la liberté d'expression.

La conclusion est simple pour PSS : la fiabilité des déclarations de Facebook est douteuse et l’entreprise représente une titanesque mine d’or pour les pirates. Nous ajouterons que la révélation des dossiers fantômes survient en plein scandale du programme de surveillance Prism et au moment où la France comme l’Europe réfléchissent aux bases d’une législation plus stricte sur le respect de la vie privée.

Notez que Packet Storm propose une solution relativement simple et qui pourrait résoudre bien des problèmes. Ainsi, si un contact devait ajouter des informations vous concernant, Facebook serait à même de les détecter et procédèrait à un regroupement. Mais pour que l'utilisateur puisse garder ces données, le réseau l'avertirait qu'une autorisation est nécessaire, à la manière des tags dans les photos. Dans tous les cas, ces informations resteraient liées à votre personne, provoquant leur suppression en cas de départ du service.


chargement
Chargement des commentaires...