Giridhari Venkatadri, Piotr Sapiezynski, et Alan Mislove de l’Université Northeastern à Boston ont réalisé une longue étude afin d’observer quelles données pouvaient utiliser les annonceurs sur Facebook. Dans un dossier relayé par Gizmodo, il s’avère que le réseau social donnerait un accès à des informations de contact qui sont censées rester confidentielles.
« Nous avons enquêté sur une série de sources potentielles d’informations nominatives, constatant que les numéros de téléphone et les adresses e-mail ajoutés comme descriptifs de profil, ceux fournis à des fins de sécurité comme l’authentification à deux facteurs, ceux de l’application Facebook Messenger pour les messages, et ceux inclus dans les bases de données de contacts téléchargées par les amis sont utilisés par Facebook pour permettre aux annonceurs de cibler les utilisateurs, » précise l’introduction de l’étude.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Pourtant, Facebook assure que l’ensemble des données de contact d’une personne ne peut être utilisé que si elle en a transmis à une société. Par exemple, il est possible d’importer une base d’abonnés à une newsletter pour ensuite les cibler dans une campagne de sponsoring sur le réseau social. Il en va de même pour les numéros de téléphone, à condition qu’ils puissent être directement reliés à un contact. Théoriquement, Facebook n’autorise les annonceurs à vous cibler avec vos données, que si ces derniers les ont en leur possession et que vous les présentez sur votre profil. Visiblement, la réalité est tout autre.
Déjà au mois de janvier 2018, une équipe de chercheurs répartis dans plusieurs universités, dont celles de Grenoble et Northeastern, avaient identifié une faille importante. Elle permettait à un annonceur de récupérer les numéros de téléphone laissés à Facebook. Avec une audience personnalisée, une marque pouvait révéler des informations normalement confidentielles. De plus, il était possible de faire la même chose avec les utilisateurs qui avaient visité une page d’un site internet grâce au pixel Facebook. Cette faille a été corrigée depuis. Malheureusement, peu de temps après, le scandale Cambridge Analytica a émergé. Une fuite massive de données, des opérations d’influence granulaires dans le but de changer les opinions politiques ou créer un clivage important, et surtout la découverte que Facebook est une véritable passoire.
Tout a été passé au crible. Les accès des applications tierces, les processus de validation, les autorisations de partage, etc. Aujourd’hui, tel un drogué repenti, Facebook se qualifierait certainement comme « clean ». Cependant, le groupe de Mark Zuckerberg continue d’accumuler les casseroles. Peu de temps après Cambridge Analytica, les utilisateurs s’étaient plaints d’un annuaire inversé. Avec un simple numéro de téléphone ou une adresse email, on pouvait retrouver un compte sur le réseau social. Cette fonctionnalité sera supprimée quelques jours plus tard, bien qu’elle ne se rapportait qu’à une mauvaise gestion des paramètres de confidentialité des utilisateurs. Plus problématique, Facebook a révélé en juillet avoir partagé des données avec des dizaines de grandes entreprises comme Orange, Apple, Microsoft, ou Amazon.
Aujourd’hui, la découverte des trois chercheurs de l’Université Northeastern remet encore en question la réelle protection de notre vie privée sur le réseau social. Pour constater leurs hypothèses, la journaliste de Gizmodo a effectué une campagne en ciblant le numéro de téléphone fixe du bureau d’Alan Mislove (un des chercheurs). Après quelques heures, ce dernier a fini pour voir la publicité dans son fil d’actualité.
Facebook précise que si Alan Mislove voit cette publicité, c’est parce que son numéro est présent dans la base de données client de l’annonceur. Source : Gizmodo.
Dans leur étude, les chercheurs détaillent le fonctionnement de chaque source potentielle d’obtention des coordonnées. Ainsi, on retrouve les informations du profil, les contacts à utiliser en cas d’alerte de connexion, les données laissées pour activer l’authentification à deux facteurs, la synchronisation du carnet de contact avec Facebook, l’utilisation de WhatsApp, ou encore les coordonnées laissées à l’installation de Messenger. Sur Android par exemple, si vous avez le même numéro laissé sur Facebook et WhatsApp, mais que ces deux comptes ne sont pas liés, il est toujours possible de vous ciblé grâce à un Android advertising ID.
« Ces résultats sont valables malgré le fait que tous les contrôles de confidentialité pertinents de nos comptes de test soient réglés dans leurs paramètres les plus privés. Dans l’ensemble, notre document souligne la nécessité de concevoir avec soin des contrôles de protection de la vie privée utilisables pour le traitement des informations nominatives sensibles dans la publicité ciblée et de fournir des informations détaillées sur cette utilisation, » ont précisé les chercheurs.
Leur étude est une vraie mine d’or sur les interconnexions entre les services des Facebook et la synchronisation de nos informations. C’est également très enrichissant si vous êtes amenés à gérer des campagnes en utilisant vos bases de données client, ou d’autres achetées sur la toile.
Reste à savoir ce que Facebook répondra sur les coordonnées utilisées pour la sécurité d’un compte. Attendons-nous à de nouvelles modifications côté condition d’utilisation, et également l’arrivée d’un outil pour enfin gérer les coordonnées que nous affichons, et celles dont nous autorisons l’utilisation à des fins publicitaires.