Facebook estime finalement que 87 millions de comptes peuvent avoir été aspirés par l'application de Cambridge Analytica en 2014. Sous le feu des critiques, le réseau social vient de restreindre l'accès à certaines API et supprimé la recherche par numéro de téléphone ou adresse e-mail... dont des tiers ont tiré de grandes quantités d'informations.

Avant-hier, Reuters révélait le contenu d'un entretien avec Mark Zuckerberg. L'agence de presse britannique titrait sur la restriction de futurs outils protecteurs de la vie privée à l'Union européenne, avec l'application du Règlement général sur la protection des données (RGPD) le 25 mai.

Elle indiquait bien que de nouveaux outils inspirés du texte feront leur apparition hors de l'UE, mais sous une forme inconnue. Suite au tollé provoqué par l'annonce, le patron de Facebook a rencontré des journalistes pour réfuter l'article... en répétant pourtant son contenu. L'enjeu : remplacer l'interprétation de Reuters par une version bien plus positive, à savoir que les nouveaux outils seront bien proposés partout dans le monde, sans garantie sur la forme.

« Nous comptons proposer les mêmes contrôles et paramètres partout, pas qu'en Europe. Cela sera-t-il exactement comme en Europe ? Probablement pas. Nous devons trouver ce qui convient à chaque marché, avec ses lois » répond désormais Zuckerberg. Traduction : les paramètres proposés en Europe ne seront « probablement pas » étendus ailleurs.

Trois semaines après le scandale Cambridge Analytica, le groupe américain est particulièrement exposé sur la question... et sa dernière révélation, glissée au fond d'un billet de blog, n'aide pas. En 2014, la société de profilage politique n'aurait pas pillé les données de 50 millions d'internautes, mais de 87 millions.

Le conditionnel est ici de rigueur, mais la nouvelle importante. Selon Les Échos, 76 Français ont autorisé le quizz voleur de données, qui aurait récupéré celles de 211 667 personnes dans l'Hexagone.

• Retour sur le scandale Cambridge Analytica et la (molle) réponse de Facebook
• Exploitation de nos données : quand le sage pointe le problème, l'idiot ne regarde que Facebook
• Facebook et la vie privée : le jour d'après
• Facebook serre la vis sur l'accès aux données, 87 millions de comptes auraient fuité en 2014

La plupart des profils publics sur Facebook probablement récupérés

En réponse à Cnet, Mark Zuckerberg déclare que les 87 millions de comptes potentiels sont une estimation en fonction du graphe social de l'époque. Facebook ne dispose pas d'historique précis des accès de l'application utilisée par Cambridge Analytica en 2014. En son absence, Zuckerberg se dit confiant dans ce nombre. Les personnes concernées devraient être averties.

Dans un autre billet de blog, Facebook a glissé une seconde révélation : « Des acteurs malveillants ont abusé des fonctions [de recherche d'utilisateurs] en soumettant des numéros de téléphone ou des adresses e-mail déjà connues via la recherche ou la récupération de compte. Au regard de la dimension et de la sophistication de l'activité que nous avons constatée, nous pensons que la plupart des personnes sur Facebook ont vu leur profil public récupéré par ce biais » affirme la société.

Rappelons qu'il est possible de restreindre l'accès à ses informations à un cercle précis (amis, amis d'amis...) pour éviter ce type de collecte massive, dans les paramètres du compte.

• À lire : Comment empêcher qu'on vous trouve sur les réseaux sociaux via votre numéro de mobile

Sur l'autre grand sujet chaud pour Facebook, à savoir la désinformation (ou « fake news »), peu de nouvelles.  Le réseau social est revenu sur la suppression de dizaines de pages liées à l'Agence de recherche Internet (IRA). Elle est largement considérée comme un organe de propagande russe, multipliant les faux comptes et sites en ligne pour influer sur l'opinion à l'étranger. Au total, plus de 30 000 comptes ont été supprimés. La société promet que 20 000 personnes travailleront sur la modération et la sécurité d'ici la fin de l'année, contre 15 000 actuellement.

Contre la désinformation attribuée aux Russes, « c'est une bataille sans fin. Vous ne réglez jamais vraiment la question de la sécurité, c'est une course à l'armement. En y repensant, nous étions en retard et nous n'avons pas assez fait dès le départ » répond Mark Zuckerberg à Axios. « J'ai clairement fait une erreur en rejetant les « fake news » [de l'élection américaine de 2016] comme un délire » ajoute-t-il.

Une politique de données personnelles revue

Plutôt que ces chiffres, Facebook met en avant la révision de sa politique d'utilisation des données personnelles et la restriction posée à la collecte de données via ses interfaces pour applications (API). L'entreprise mettra en place cette révision de la vie privée sur sa plateforme dans une semaine, après consultation des internautes.

Le nouveau texte prend en compte les outils lancés depuis trois ans (comme les diffusions en direct), réexplique l'utilisation des données personnelles (pour la personnalisation du site et des publicités), les données partagées avec des tiers et celles fournies par d'autres services du groupe (avant tout Instagram, WhatsApp et Oculus). Une partie revient sur la lutte contre les comportements et contenus jugés nocifs.

La nouvelle politique détaille (enfin) les données récupérées des terminaux mobiles, comme les contacts, ainsi que les journaux d'appels et de SMS. Une réaction tardive, après un tollé public suite à la découverte par certains internautes de cette collecte. L'ensemble des informations sont récupérées avec l'accord de l'utilisateur, mais une partie des deux milliards de membres ne semblent (une nouvelle fois) pas avoir pris conscience de ce qu'ils avaient accepté.

Enfin, le texte rappelle que Facebook ne vend pas directement de données aux tiers. La société en tire des services commercialisés à des annonceurs (le ciblage publicitaire) et les partage avec des développeurs via ses API, destinées à étendre l'empreinte du réseau social sur le Net.

L'accès aux API restreint

Dans l'affaire Cambridge Analytica, le nerf de la guerre est l'accès aux données. En dehors des éventuels « scraping » des pages web publiques des membres, l'essentiel passe par les API officielles de Facebook, très peu contrôlées jusqu'en 2015. Sur le sujet, le groupe a déjà promis une enquête sur l'ensemble des applications qui ont accédé à beaucoup de données avant 2014, tout refus menant à une éviction de la plateforme.

De nouvelles restrictions sur l'accès aux informations, dont une désactivation de cet accès après trois mois d'inactivité sur le compte, étaient aussi de la partie. Hier, l'entreprise a encore serré la vis, notamment au niveau des API :

• Celle dédiée aux événements empêche désormais l'accès à la liste des invités et aux messages associés. Facebook promet d'ensuite restreindre l'accès à cette API à des applications triées sur le volet.
• Celle des groupes sera aussi restreinte. Pour accéder à ces données, une application devra être approuvée par Facebook et l'un des administrateurs du groupe en question.
• Celle des Pages n'est plus disponible que pour les applications validées par Facebook.
• L'ancienne API d'Instagram est dépréciée, rehaussant le niveau de sécurité. La nouvelle a d'ailleurs causé la détresse de certains développeurs, mis à la porte sans préavis.

Comme promis, Facebook coupe aussi le ciblage publicitaire fourni par des tiers (à partir de leurs propres données), soit l'une des méthodes attribuées à Cambridge Analytica. À compter du lundi 9 avril, le réseau social compte aussi placer un lien vers les paramètres du compte au-dessus du fil d'actualité sur mobile, comme il l'avait déjà promis sur la version web.

De plus, la recherche de membres par adresse e-mail ou numéro de téléphone, tant abusée, disparaît à compter d'aujourd'hui. Pour leur part, les applications Facebook Login (pour identifier un membre ailleurs) doivent fournir plus de garanties lorsqu'elles demandent l'accès aux publications, mentions J'aime, photos, vidéos, événements et groupes. Enfin, disparaît la voie vers les opinions politiques et religieuses, le statut amoureux, les listes d'amis personnalisés, le cursus, les activité physique, littéraire, musicale, de jeux ainsi que de lecture de vidéos et d'actualités.

Ce grand ménage sécuritaire (et tardif) devrait donc rassurer les membres, les actionnaires et les partenaires. Elle renforce aussi la mainmise commerciale de Facebook sur ses principaux actifs (la capacité de ciblage publicitaire et les données de ses membres), sans chambouler son mode de fonctionnement ni son modèle économique.

Interrogé hier sur la tension entre son modèle et le bien-être des internautes, Mark Zuckerberg a répondu privilégier le long terme, donc l'intérêt des internautes. Tout repose désormais sur la validation des applications par Facebook, qui n'est nécessaire que pour les applications demandant des données précises. Celles utilisant uniquement la plateforme comme moyen d'authentification (par exemple un service tiers) ne devraient donc pas être affectées.

Dans ses contrôles, Facebook vérifie le besoin des permissions et certains points techniques, il faudra donc voir si ce processus évolue lui-même dans les prochains mois.

Tinder lésé temporairement

Ces changements ont fait une victime : Tinder. Des utilisateurs de l'application de rencontre ont été déconnectés de leur compte, avec l'impossibilité d'y revenir.

Comme l'écrit The Verge, dans la mesure où le service de rencontre requiert un compte Facebook, l'ensemble des membres étaient potentiellement concernés. En attendant, l'application répondait simplement aux utilisateurs qu'ils devaient fournir plus de permissions à Tinder.

À Wired, Facebook a confirmé qu'il s'agit bien d'une conséquence (inattendue) de ses nouvelles restrictions. La situation est revenue à la normale ce matin.