Facebook

Facebook mérite à lui tout seul toute notre attention et toutes nos critiques. Vu la position dominante du réseau social, et son pouvoir d’influence, il devrait être irréprochable et il ne l’est pas. Un peu comme YouTube, d’ailleurs, quand on y pense.

Pire que les autres ?

La vie privée est (encore) un droit.

La vie privée est (encore un peu) un droit.

Je ne crois pas que FB soit pire que les autres, mais comme je le dis en introduction, vu sa position et la quantité de données personnelles qu’il charrie, la moindre erreur a des conséquences colossales. Cela dit, le business de FB est celui des données (très) personnelles, et pour attirer un maximum d’utilisateurs, il doit en collecter un maximum de façon à répondre à leur curiosité.

Un bug et ses conséquences

Prenons un exemple concret. En mai 20181, suite à une erreur lors d’un test interne, Facebook a modifié les paramètres de confidentialité de 14 millions d’utilisateurs. Le tir n’a été corrigé que plusieurs jours plus tard.

Trop tard

Comme souvent en informatique, Facebook a commis l’erreur inexcusable de ne penser aux conséquences de son activité que bien trop tard, alors que le site était déjà lancé et que le nombre d’utilisateurs dépassait l’imagination de ses concepteurs. Facebook a été créé en 2004, et ce n’est qu’en 2018 qu’il commence à se dire qu’il n’a peut-être pas bien pris en compte tous les enjeux de son activité, principalement sur la vie privée des utilisateurs, mais aussi sur l’influence qu’il peut avoir y compris sur des élections.

Notons.

  • L’application Facebook sur Android récupère des SMS et des données sur les appels (ArsTechnica)
  • Les données d’utilisateurs Facebook détournées (Digital Journal)
  • Deux milliards de comptes compromis par Cambridge Analytica (Hacker News)
  • Communiqué Facebook sur les données collectées (Facebook)
  • Analyse NextInpact sur une fuite de données concernant 50 millions d’utilisaterus (NextInpact)
  • Récupération de données sans même avoir de compte ! (The Register)

L’aveu

Je prends ça comme un aveu d’impuissance mais aussi d’incompétence : Mark Zuckerberg en appelle aux gouvernements pour l’aider à réguler le contenu des réseaux sociaux, dont le sien2. Trop fort : on fait des conneries, on a trop d’influence et on ne sait pas le gérer, donc faites-le pour nous.

Quelques fuites de données

Le coup du mot de passe

Un « incident » qui en dit long : mars 2019, on apprend que Facebook stockait des centaines de millions de mots de passe… en clair3 ! Il apparaît qu’il s’agit d’une erreur similaire à ce qu’ont pu connaître Twitter et Github4, à savoir des logs contenant le mot de passe en clair.

Est-ce volontaire ?

Je serai tenté de dire oui, mais sans aucune preuve. Il semble qu’ils aient déjà tellement de moyens de récupérer d’informations sur les utilisateurs qu’ils n’ont peut-être pas besoin de ça. Par contre, ça ne va pas les aider en cette période de tentative de reconquérir la confiance des utilisateurs…

Relativisons

Le problème ne touche que l’application Facebook Lite. Donc uniquement quelques centaines de millions d’utilisateurs, et non pas le milliard++ d’inscrits. Et ça ne date que de 2012. Et les logs n’étaient pas accessibles depuis l’extérieur.

La défense périmétrique est, on le sait, infranchissable…

146 Go

Rien de moins ! Et stocké sur des buckets s3 en clair ! Vu en avril 20195, on est presque dans un cas d’école. Ce qu’on comprend dans cette affaire, c’est que des tiers ont accès à une quantité impressionnantes de données sur les utilisateurs Facebook, et donc que pour espérer un peu de sécurité sur FB, il faudrait à la fois que FB réduise la quantité (et le type) de données accessibles aux tiers (ce qui serait contraire à leur modèle économique) et que les tiers en question soient eux aussi plus fiables. Autant dire que ça n’arrivera jamais.

Plus d’infos sur le site d’UpGuard.

Autres « bugs »

  • Mai 2019 : une faille dans WhatsApp (= Facebook) permet l’installation de logiciel malveillant6 sans aucune action utilisateur.
  • Fin 2019, pas de chance : un disque dur non chiffré contenant des données sur les employés de FB a été volé dans une voiture (à sourcer).

Au sujet de WhatsApp, zataz.com propose une analyse intéressante7 selon laquelle cette appli ne sera jamais vraiment sécurisée. Ce qui est surtout intéressant est de remarquer que Telegram est interdit en Iran ou en Russie, et pas WhatsApp qui reste autorisé. Une explication ?

Le coup de la panne

Sous surveillance

Il y avait déjà eu un précédent, a priori mal respecté8