Le réseau social Facebook fait régulièrement la une de l’actualité sur les questions relatives à la collecte des données personnelles et au respect de la vie privée de ses utilisateurs. Des chercheurs de l’université canadienne « British Columbia » de Vancouver ont réalisé une étude édifiante permettant de démontrer qu’il est possible de lancer une cyber-attaque sur Facebook à l’aide de logiciels-robots dans le but de collecter des informations personnelles grâce à des « faux-amis Facebook« .
Les chercheurs ont tout d’abord créés des centaines de faux profils, avec noms, photos… A partir de ces faux profils, ils ont ensuite programmé les logiciels-robots pour envoyer des messages et des demandes d’ajouts d’amis à destination de vrais utilisateurs du réseau social.
Taux de réussite : 19% ! Sur les 5000 demandes envoyées, près d’une personne sur cinq a répondu favorablement à ses demandes de faux amis ! Les résultats ont été encore meilleurs lorsque les logiciels-robots ont ensuite envoyé des demandes aux amis des amis, les réponses positives sont alors de une sur deux.
Cette expérience permet de tirer plusieurs enseignements :
De facto, se pose la question de l’utilisation de ces données par une personne ou un groupe de personnes mal intentionné : campagne de spams, phishing, piratage de compte…etc
La plainte d’un étudiant autrichien en droit
Cette expérience fait écho à une autre histoire qui fait beaucoup de bruit en ce moment : l’affaire des « profils fantômes ». Un étudiant autrichien en droit a découvert que Facebook utiliserait les données de ses abonnés pour faire des corrélations avec d’autres personnes et constituer des profils d’internautes non membres de Facebook : des profils fantômes.
Le jeune homme s’est rendu compte de la procédure suite à une demande à Facebook d’accès aux données personnelles que la société conserve sur lui. Le formulaire de demande est bien caché sur le site de Facebook, et précise que le demandeur doit invoquer une loi relative à la protection des données pour que Facebook réponde à sa demande. Le siège de Facebook en Europe étant situé en Irlande, Max Schrems a brandi une directive européenne pour obtenir une copie des données conservées.
Cette dernière lui est arrivée par courrier sous la forme d’un CD contenant un fichier PDF de plus de 1200 pages… L’étudiant a alors découvert que le site gardait sur ses serveurs, pour un temps limité ou indéfiniment, tous les faits et gestes de ses utilisateurs : statuts, commentaires, «j’aime», messages privés, messages instantanés, demandes d’amis, invitations, jours, heures et lieux de connexion, photos, liens postés…
Max Schrems a également remarqué que le site gardait en mémoire des éléments qu’il avait pourtant supprimés de son profil. Même si ces derniers n’apparaissent plus sur son profil, Facebook n’a pas effacé ces données de ses serveurs : elles sont simplement devenues invisibles.
Les « profils fantômes »
Plus inquiétant encore, Facebook compile de nombreuses informations sur des personnes qui ne sont pas inscrites sur le réseau social, via notamment la fonction d’importation de carnet d’adresses emails et, par recoupement, dessine des relations…. C’est ce que Max Schrems nomme les «profils fantômes». L’existence de telles pratiques est confirmée par un formulaire du site, bien caché, qui propose aux non-utilisateurs «que Facebook cesse de stocker (leurs) données dans sa base de données».
Quant aux profils fantômes, ils permettraient d’améliorer l’outil «suggestion d’amis» et d’attirer plus d’internautes vers Facebook. Un internaute non inscrit au réseau social reçoit par email des propositions pour rejoindre Facebook, email accompagné de photographies de plusieurs amis présumés. Les données peuvent être également revendues à des annonceurs, qui pourront ainsi faire de la publicité ciblée en fonction de l’âge, du sexe, de la ville, des hobbies …
Max Scherms a ouvert un site, Europe vs Facebook, où il incite les internautes à réclamer eux-aussi leur dossier personnel au réseau social. Dans le même temps il a déposé pas moins de 22 plaintes contre le géant californien auprès du commissaire irlandais à la protection des données pour infractions à la législation européenne.
Source : Helios Investigations / Groupe Indicia – Détective privé à Paris, Montpellier, Rennes, Lyon, Nîmes, Marseille, Toulon, Toulouse, Limoges ou Vannes.