Nous suivre Industrie Techno

Cambridge Analytica : Facebook au pied du...mur

Cambridge Analytica : Facebook au pied du...mur

Depuis deux semaines, Facebook est dans la tourmente. La raison : les comptes de ses deux milliards d’utilisateurs ont pu être exposés au « vol » de données par Cambridge Analytica. Pour décrypter les enjeux de cette affaire, nous avons contacté Christophe Badot, Directeur de l’entreprise Varonis France, spécialisée dans la gouvernance des données et la protection contre les attaques externes et internes.

 

87 millions d’utilisateurs de Facebook, dont 210 000 en France selon une source proche de l’entreprise citée par nos confrères du Monde, ont été concernés par l’affaire Cambridge Analytica de « récupération » de données. C’est grâce à l’application connectée à Facebook « thisisyourdigitallife », qui proposait aux individus de répondre à un questionnaire, que la société de communication stratégique Cambridge Analytica, qui a travaillé pour la campagne de Donald Trump, a pu obtenir les données des répondants, mais également de leurs amis. 

Une erreur de Facebook

Mark Zuckerberg a donné hier et aujourd’hui une visibilité sur l’ampleur de l’affaire Cambridge Analytica : de 87 millions personnes touchées par la récupération de données, on est passés à 2 milliards (soit la totalité des utilisateurs facebook) de comptes exposés. Ce vendredi 6 avril, la Commission européenne a annoncé que près de 2,7 millions d'utilisateurs pourraient être concernés. « C’est le pire des scandales qui existe en termes de portée et de nombre d’utilisateurs », commente Christophe Badot, Directeur de Varonis France, une entreprise spécialisée dans la gouvernance des données et la protection contre les attaques externes et internes. 

Externes et internes, car le « hacker » n’est pas toujours celui que l’on croit. « On a toujours cette vision de fuites de données, de méchants hackers, qui tentent de dérober vos informations. Mais le plus souvent dans les grandes affaires, il s’agit de personnes qui ont un accès quasi légitime - par erreur ou pas - et qui les ont utilisés pour, par exemple, lancer une alerte (Edward Snowden) ou, comme ici avec Cambridge Analytica, pour une campagne politique. »

Comment les données ont-elles été récupérées ? 

Par rebonds. « Des tests psychologiques ont été passés par des utilisateurs Facebook via une application. Et, par rebond, Cambridge Analytica a eu accès aux données des amis des utilisateurs à cause d’une fonctionnalité permettant à un utilisateur d’entrer en contact avec un autre utilisateur via son adresse mail ou son numéro de téléphone. C’est cet accès qui n’a pas été suffisamment sécurisé. Mais est-ce que contractuelllement Cambridge Analytica était libre de siphonner les informations ? Nous ne le savons pas. » 

Et si le règlement européen était en place ? 

Une question se pose dans cette affaire. Si le Règlement européen sur la protection des données - le RGPD - était en place, celui-ci aurait-il touché Facebook et si oui, qu’aurait dû faire l’entreprise ? « Même si on parle de règlement européen, précise Christophe Badot, il s’applique aux entreprises qui manipulent des données personnelles de citoyens européens. Dans ces 87 millions d’utilisateurs, il y a des citoyens européens. Dans ce cas, l’application est pleine et entière, et une obligation aurait dû être donnée à Facebook de déclarer cette fuite de données dans les 72h et d’expliquer ce qu’il s’est passé. » Pour rappel, le Règlement européen entrera en vigueur le 25 mai 2018. Dans une déclaration, le patron Facebook a même évoqué la généralisation du RGPD aux utilisateurs non européens. 

Peut-on s’en protéger ? 

« Le principe même de Facebook, c’est que l’utilisateur prenne l’initiative d’alimenter la plateforme. Il existe sûrement une clause contractuelle mais la plupart des utilisateurs ne lisent pas les conditions générales de Facebook » remarque Christophe Badot. Quelques recommandations peuvent tout de même être données : d'abord, évidemment, être prudent sur le volume d’informations que l’on met sur les réseaux sociaux. « Un ami utilise l’expression « naturisme numérique » pour parler de la pratique de cette nouvelle génération, sans filtres, qui se met à nu d’un point de vue numérique sur le web. Il faut essayer d’être restrictif dans la nature des informations que l’on partage. C’est le conseil le plus pragmatique que je puisse donner. »

L’autre solution : mettre en place des outils de protection. « La capacité à donner de la traçabilité pour les données personnelles est de plus en plus contractuelle. Facebook aurait dû se doter d’outils et de process permettant de sécuriser l’accès aux données utilisateurs. »

Le droit à l’oubli

« En tant que consommateur, vous avez la possibilité de demander à votre employeur de récupérer toutes vos données et avoir une preuve matérielle que celles-ci ont bien été supprimées de la base de données » ajoute Christophe Badot. « Il existe des outils - que nous proposons chez Varonis - qui permettent de vérifier sur l’ensemble du système où les données sont localisées pour pouvoir ensuite les enlever du système. » Selon lui, pour Facebook également, n’importe quel utilisateur est en capacité de pouvoir partir avec l’ensemble de ses données.

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

Le centre Inria Lille met l'IA à l’honneur

Le centre Inria Lille met l'IA à l’honneur

Implanté au cœur du pôle d’excellence EuraTechnologies, le bâtiment « Place », fraîchement[…]

L'intelligence artificielle pour viser le flux tendu

Focus

L'intelligence artificielle pour viser le flux tendu

"Donner plus d'intelligence aux machines"

Dossiers

"Donner plus d'intelligence aux machines"

Les systèmes cyberphysiques s'autonomisent

Dossiers

Les systèmes cyberphysiques s'autonomisent

Plus d'articles