Depuis sa création, le site communautaire souffre de son image publique. Ainsi, certains salariés un peu trop bavards sur Facebook, par exemple, ont eu des problèmes avec leurs employeurs et les dégâts causés sur la vie privée sont également légion. En constante amélioration, le site propose aujourd’hui de nouveaux outils de sécurité permettant aux utilisateurs de mieux gérer leurs données personnelles. Parmi les nouveautés annoncées, il est clair que maître mot de Facebook a été « sécurité ».
Quand une faille étale vos données personnelles au grand jour
La confidentialité et la sécurité des données personnelles sont des sujets très sensibles pour Facebook. Lorsque le 4 mai dernier, une faille de sécurité permet à chaque membre de lire en direct les discussions privées de chacun de ses contacts, le réseau social au 500 millions d’utilisateurs se fait tout petit… Le journaliste ayant révélé ce dérapage rapporte « une faille de sécurité localisée dans les paramètres de confidentialité. Vous pouviez ainsi accéder aux conversations privées de vos ‘friends’ mais aussi accéder aux demandes d’amis ‘en attente’, aux données personnelles… ». Le chat a été désactivé le temps de régler le problème, mais durant un certain temps, le bug a permis à certains utilisateurs de visualiser les conversations de leurs amis via la fonction « aperçu de mon profil ».
Facebook améliore et élargit ses outils de contrôle des données personnelles
Début octobre, la conférence de Mark Zuckerberg (créateur de Facebook) annonçait des changements pour les utilisateurs sur le réseau social, avec entre autres, des nouveautés pour améliorer la protection des données personnelles :
- Un nouveau tableau de bord offre une vue d’ensemble sur les applications autorisées, les données dont elles se servent et l’utilisation qui en est faite. Les utilisateurs pourront à présent limiter la quantité d’informations collectées voire supprimer une application.
- Les utilisateurs pourront télécharger l’intégralité de leur compte et leurs informations pour en avoir une copie. Le site génère un fichier Zip de toutes les interactions avec Facebook (photos, vidéos, conversations…). Le système est protégé par mot de passe.
- Il est désormais possible de compartimenter ses échanges en créant des groupes (famille, amis proches, collègues…). On peut ainsi partager les informations de son choix en maîtrisant les destinataires et en fixant des permissions pour chacun de ces groupes. La différence avec le système existant réside dans le fait que ces listes de contacts fonctionneront comme n’importe quel groupe, sur lequel vous aurez l’entière main mise. On pourra filtrer ses partages via ces groupes. Ces nouveaux groupes seront plus simples à utiliser et fonctionneront exactement comme des groupes de contacts, des mini réseaux sociaux dont vous seul choisirez les membres. Trois niveaux de visibilité seront mis en place. Le premier permettra à tout le monde de voir le groupe, ses membres et son contenu. Le second, celui de base, dit « fermé », laisse visible le nom du groupe et ses membres. Le troisième, dit « secret » cache la totalité du groupe et ses fonctions à ceux qui n’en sont pas membres. L’impossibilité de segmenter ses contacts limitait l’usage du réseau social. Par défaut, le paramétrage est fermé de sorte que seuls les membres d’un groupe reçoivent les mises à jour. Fini les photos de soirées arrosées qui tombent sous les yeux de vos patrons.
Il s’agit donc d’avoir le contrôle sur les informations personnelles transitant sur le site et de créer des minis-réseaux sociaux entre les membres d’une famille, d’un club, d’une entreprise… Ces fonctionnalités sont progressivement misent en place sur le site. L’objectif étant de donner aux membres une meilleure maîtrise de leurs échanges et de leurs données personnelles, ces changements permettront aux utilisateurs d’avoir plus de contrôle sur ce qu’ils font sur Facebook et sur l’impact de ce dernier.
Les nouveaux outils de sécurité
Une semaine après avoir expliqué la mise en place des outils de contrôle cités ci-dessous, Facebook annonçait une nouvelle mesure pour les utilisateurs qui consultent leur profil depuis un poste public. Un système de mot de passe provisoire à été mis en place. L’objectif étant d’éviter que les paramètres de sécurité du membre ne soient enregistrés sur des machines peu sûres (équipées d’un keylogger, par exemple), ce qui est assez courant dans les hôtels et cybercafés. Pour bénéficier de ce mot de passe provisoire, il suffit d’entrer un numéro de portable en amont, depuis un ordinateur sécurisé, dans les paramètres de son compte et d’envoyer le texte « OTP » au 32665 pour recevoir le mot de passe par SMS. Il est utilisable dans les 20 minutes et n’est valable qu’une fois.
Facebook propose aussi un nouveau système de déconnexion à distance. Il n’est pas rare d’ouvrir différentes sessions sur différentes machines (au bureau, à la maison, sur le mobile…), à présent, une fonction permet de fermer la session de son choix. Cela peut être utile en cas de perte ou vol de son smartphone ou ordinateur.
Malgré ces efforts, le site reste en ligne de mire des autorités de protection des libertés. En France comme au Etats-Unis, de nombreux progrès restent à faire pour améliorer la protection des données personnelles. En France, c’est la CNIL qui pousse Facebook à opérer des changements sur certains services du site. Aux Etats-Unis, les méthodes de récupération des données viennent d’être révélées au grand jour et on apprend notamment que les applications utilisées par nos « amis » peuvent ainsi piller nos données en toute impunité.
La CNIL contre Facebook Places
Cette semaine, la CNIL, Commission Nationale de l’Informatique et des Libertés, met en garde contre Facebook Places, le service de géolocalisation du réseau social et publie sur son site un communiqué disant « La CNIL demande à Facebook d’améliorer les paramètres de confidentialité et l’information des personnes afin que la vie privée soit mieux garantie sur ce réseau social ».
- Risque de cambriolage : « Dans la mesure où vous pouvez indiquer votre position à tout moment, le premier risque est de dévoiler trop d’informations sur vous. Par exemple, publier sa localisation au court de la journée peut conduire à dévoiler aux cambrioleurs potentiels vos horaires de présence ainsi que votre adresse », prévient la CNIL.
- Risque de regrets : pour signaler sa localisation, l’internaute choisi parmi une liste de lieux ou en ajoute lui-même. Un lieu « qu’il sera compliqué de supprimer. Il faut donc éviter d’y faire figurer des informations personnelles. »
- Risque de voir sa vie déballée par un « ami » : Facebook Places permet aux usagers de « taguer » les autres, autrement dit d’indiquer où se trouvent leurs amis, sans autorisation. Bien que les personnes soient prévenues par email, ce qui leur permet ensuite de se « détaguer », la CNIL juge cette notification insuffisante dans la mesure où l’autorisation devrait être systématiquement demandée à la personne avant d’être tagguée.
La CNIL souhaite également que les usagers puissent créer deux listes :
- L’une concernant les « amis autorisés à vous taguer dans un lieu ».
- L’autre pour les amis autorisés à voir les lieux où vous dites être.
Pour l’instant, Facebook France n’a pas répondu à ces recommandations, bien qu’il soit en contact régulier avec la CNIL. En attendant, la CNIL ne peut pas contraindre le site à opérer ces modifications mais se fait plus insistante. La Commission recommande donc aux usagers la plus grande vigilance et préconise de verrouiller au maximum ses paramètres de confidentialité, notamment en désactivant les options « M’inclure dans la liste des personnes présentes » et « Mes amis peuvent indiquer que je me trouve à certains endroits » et recommande de personnaliser une liste d’amis habilités à voir les lieux dans lesquels vous indiquez vous trouver.
L’enquête qui accable Facebook
Le Wall Street Journal a enquêté sur les pratiques du réseau social et de ses partenaires en matière de protection des données personnelles. Il s’avère que même avec les paramètres de sécurité verrouillés au maximum, les informations des membres fuient et sont revendues à des sociétés publicitaires. En cause : les applications tierces, qui sont de véritables passoires. Ce n’est pas directement Facebook qui diffuse et vend les informations personnelles de ses 500 millions de membres, ce sont ces applications. Développées par d’autres sociétés, ces extensions sont installées gratuitement pour profiter de contenus supplémentaires, comme des jeux ou des quiz. L’utilisateur autorise alors l’application à accéder à ses données.
En réalité, dès qu’un utilisateur autorise certaines applications à accéder aux informations de sa page Facebook, il implique aussi ses contacts. Grâce à cette autorisation, l’application accède également aux comptes de ses « amis » et prend ainsi les données d’autres comptes qui lui seraient normalement inaccessibles. Cette pratique est interdite par Facebook mais peu sanctionnée…
Les données transmises sont des ID d’utilisateurs et non des noms réels. Toutefois il est aisé de traduire automatiquement ces identifiants en identités complète (nom, prénom, date de naissance, photos…). « L’ensemble des dix applications les plus populaires transmettent des identifiants d’utilisateurs à des entreprises tierces », explique le Wall Street Journal. Il s’agit de Farmville, Phrases, Texas HoldEm Poker, FrontierVille, Causes, Café World, Mafia Wars, Quiz Planet, Treasure Isle et IHeart.
Même les internautes qui prennent le plus de précautions sont donc touchés, il suffit pour cela qu’ils aient dans leurs « amis » des amateurs d’applications.
Facebook refuse d’être tenu pour responsable des agissements des sociétés tierces, qui proposent tout de même plus de 550.000 applications à ses membres. Les dirigeants du groupe ont beau répéter qu’ils prennent « toutes les mesures nécessaires pour limiter la fuite des données personnelles » depuis la création du site, deux membres de la Chambre des représentants ont exigés dans une lettre que Facebook apporte des réponses à ce sujet avant le 27 octobre.
En attendant que ces problèmes d’ordre plus commercial (que l’on peut voir en quelque sorte comme du rachat de fichier, pratique courante en marketing) soient résolus, on peut profiter des nouvelles fonctionnalités de Facebook permettant de mieux contrôler l’accès à nos données personnelles. Bien entendu, en tant que réseau social numéro 1 au monde, on peut s’attendre à ce que toutes ces questions soient traitées et à ce que les solutions apportées à ces problèmes soient régulièrement revues. Il ne reste plus à l’utilisateur qu’à rester vigilant en attendant les prochaines améliorations.