bortzmeyer

Vous avez certainement déjà vu des articles sur les mauvaises pratiques de Facebook en matière de gestion des données privées. Vous en avez peut-être même un peu assez, genre « oui, c'est bon, on a compris, ce sont des méchants, pas la peine de le répéter si souvent ». Et c'est vrai qu'on peut avoir l'impression qu'il ne peut plus y avoir de nouveau avec Facebook, que toutes les saloperies possibles, ils les font déjà. Pourtant, même si on est un anti-Facebook convaincu, on peut quand même être surpris (et, hélas, en mal) par le rapport de l'association Privacy International au sujet de Facebook et plus spécialement de la façon dont Facebook s'arrange pour que les apps (les programmes) tournant sur les ordiphones Android lui envoient des données personnelles, sans autorisation de l'utilisateur, sans que celui-ci ou celle-ci le sache, et sans même qu'il ou elle ait un compte Facebook. Le rapport est une étude concrète. Pas de grandes diatribes comme en font nos intellectuels français contre les affreux « géants de l'Internet », en restant dans le vague. Ici, au contraire, comme le fait Exodus Privacy (qui est cité dans le rapport), les auteurs ont regardé de près la question. Ils ont pris un certain nombre d'apps tournant sur Android (non pas qu'iOS, le système d'exploitation des iPhone, soit meilleur, mais simplement le temps manquait pour tout tester sérieusement), les ont fait tourner dans un environnement de test, avec interception et décryptage des communications entre l'app et Facebook. Et les résultats sont consternants : les deux tiers des apps envoient des données personnelles à Facebook, dès le démarrage, qu'on soit utilisateur de Facebook ou pas. Exodus Privacy avait déjà montré que la plupart des apps disponibles sur le magasin d'apps d'Android (Play Store, propriété de Google) incluent un grand nombre de pisteurs, de dispositifs techniques permettant de suivre à la trace les utilisateurs. Privacy International a une approche technique différente, en faisant une analyse dynamique, et non plus statique, de l'app. Leur interception des communications chiffrées avec Facebook permet de lire le contenu des messages. C'est ainsi qu'ils montrent que ces messages envoient l'identifiant publicitaire Google, un identificateur unique spécifique à chaque téléphone, que Google fournit gentiment pour faciliter le suivi des utilisateurs. Cela, c'est l'envoi de base. Voici cet identifiant publicitaire (vous pouvez trouver le vôtre sous Paramètre –> Google –> Annonces) : Mais certaines applications font bien pire, en envoyant d'autres données, parfois plus sensibles. Pourquoi tant de développeurs ont-ils choisi d'envoyer ces données à Facebook ? Parfois, c'est tout simplement qu'ils ne le savaient pas. Ils avaient inclus le SDK (Software Development Kit, la bibliothèque logicielle que Facebook fournit à ceux qui veulent inclure certains services Facebook dans leur app) et le SDK, dès le démarrage de l'application, envoie les données à Facebook, avant toute demande d'autorisation. (Notez qu'Exodus Privacy avait déjà noté un problème similaire : des développeurs informatiques négligents incluent une bibliothèque dans leur app, sans vérifier si elle ne comprend pas des pisteurs.) Je vous laisse lire le rapport complet, très bien fait, pour voir l'ampleur des dégueulasseries (le mot n'est pas trop fort) commises par Facebook et ses complices. Une partie très intéressante est celle qui contient les réponses des sociétés mises en cause, que Privacy International avait prévenues. Un festival de langue de bois corporate, plein de « your privacy is important to us », « we work very hard to improve the user experience », « we are committed to comply » et autres mensonges. Très peu d'entreprises répondaient concrètement, très peu annonçaient des mesures précises. La palme revient à Google qui prétend que l'identificateur publicitaire est changé lorsqu'on réinitialise l'ordiphone Android aux valeurs d'usine (cassant le suivi de l'utilisateur) alors que l'équipe de Privacy International a pu vérifier que c'était faux. On voit là le poids à accorder aux déclarations, aux privacy policies et autres promesses. Facebook annonce quand même que le SDK a été modifié (un mois après l'entrée en application du RGPD) pour ne plus envoyer d'informations sans demande explicite de l'app. Cela ne concerne que les apps qui seront créées, dans le futur, avec le nouveau SDK. Mais pour le reste, Facebook refuse toute responsabilité, puisque les conditions d'utilisation du SDK précisent que c'est au(x) développeur(s) de l'app d'obtenir un consentement de l'utilisateur... Bref, on voit qu'une entreprise comme Facebook est au-delà de toute possibilité de réforme, et qu'elle doit être détruite.