Aïe, aïe, aïe. Alors que Facebook mise sur un rebranding autour d’Instagram et WhatsApp afin de montrer que le groupe possède les applications et surtout que Facebook a réussi à faire des choses bien, le groupe va devoir faire face à un nouveau scandale. Comme le rapporte Business Insider à travers un long dossier, un partenaire publicitaire de confiance d’Instagram et Facebook, HYP3R, a collecté et stocké les stories et localisation de millions d’utilisateurs d’Instagram.

Que fait HYP3R ?

Commençons par le commencement, HYP3R est une plateforme de marketing géolocalisé américaine, basée à San Francisco créée en 2015 qui permet aux entreprises de « débloquer des données géosociales pour acquérir et fidéliser des clients à forte valeur ajoutée. » En gros, l’entreprise surveille les posts sur les réseaux sociaux en fonction des lieux et cible les clients potentiels avec des publicités.

Que s’est-il passé ?

HYP3R a profité de son accès privilégié et d’une « combinaisons d’erreurs de configuration et d’une supervision laxiste » de la part d’Instagram pour sauvegarder les stories d’utilisateurs et d’autres données. Les stories durent 24 heures, mais la société a réussi à les sauvegarder et stocker bien plus longtemps. De plus, la société a réussi à accéder aux données publiques des profils : biographies, followers et la localisation des utilisateurs. Elle a ainsi pu créer une base de données utile pour ses clients, avec des profils bien détaillés comportant les intérêts et déplacements de millions d’utilisateurs. Enfin, l’entreprise utilise un « logiciel de reconnaissance d’images sur les posts des utilisateurs qu’il collecte pour analyser automatiquement ce qu’ils représentent. »

Une story le matin dans un Starbuck à New York, suivie d’une story dans un restaurant huppé de la cinquième avenue puis une le soir en train de prendre un verre au bord de l’Upper Bay ? Si ces lieux faisaient partie des endroits surveillés par l’entreprise, ils savaient exactement ce que vous faisiez et l’ajoutaient à votre profil.

Pour l’entreprise, les données collectées étaient déjà publiques, car disponibles sur Instagram, il n’était pas nécessaire de demander l’autorisation à Instagram ou aux utilisateurs. Les actions d’HYP3R  sont à l’encontre des principes et règles d’Instagram, même si elle utilisait l’API du réseau social de photos.
Cette dernière a été restreinte en 2018. Mais HYP3R a tout simplement utilisé différentes techniques et ainsi détourné les règles pour accéder à ses données. La société à par exemple profité d’une fonctionnalité aujourd’hui désactivée qui permettait de rendre visible la localisation d’une page Instagram et ainsi accéder aux posts des utilisateurs quand ils s’y rendaient.

Que dit Instagram ?

Informé suite à l’article de Business Insider, Instagram a expliqué avoir retiré l’entreprise de sa plateforme et a précisé avoir réalisé des changements autour de son produit, afin d’empêcher d’autres entreprises de faire la même chose. L’entreprise explique également que HYP3R a bien violé les règles de la plateformes.

Quelles sont les conséquences ?

Facebook a fait couler beaucoup d’encre suite à Cambridge Analytica. L’entreprise a beau avoir présenté ses excuses, renforcer la sécurité de sa plateforme et révoquer plusieurs accès aux développeurs, les résultats sont là : Facebook a échoué. Comment après un tel scandale, un partenaire marketing officiel de l’entreprise peut collecter autant de données, sans que Facebook ne s’en rende compte ? 

Pour les utilisateurs, on ne sait pas encore si Instagram va contacter les personnes touchées par cette faille. On ne sait pas précisément combien de personnes ont été touchées mais HYP3R se vante d’avoir « un ensemble de données unique de centaines de millions de consommateurs de la plus grande valeur dans le monde. »