au sommaire
Le Wall Street Journal rapporte ce lundi que la plupart des applicationsapplications les plus populaires sur FacebookFacebook envoient des informations personnelles sur leurs utilisateurs aux publicitaires et à des agences spécialisées dans le profilage des internautes. La pratique, qui est interdite par les règles d'utilisation de Facebook, toucherait aussi les utilisateurs qui définissent dans leur profil les paramètres les plus restrictifs pour l'utilisation de leurs données privées.
La faille, exploitée consciemment ou non par les éditeurs d'application, leur permet de transmettre aux annonceurs l'identifiant de l'utilisateur sur le réseau social (Facebook ID). En soi, ces ID ne permettent pas d'accéder aux informations privées de l'utilisateur mais ils permettent aux publicitaires de savoir précisément qui s'intéresse à leurs publicités, et d'établir des profils à partir des données qui sont souvent publiques, comme l'âge, le lieu de domicile, etc.
Selon le WSJ, les applications concernées seraient notamment les jeux Farmville, Texas HoldEm Poker et FrontierVille, de l'éditeur Zynga. « Trois des 10 applications les plus populaires, y compris Farmville, ont aussi transmis des informations personnelles sur les amis d'un utilisateur à des sociétés extérieures », écrit le quotidien américain. Il cite également des applications de LOLapps Media Inc. (Gift Creator, Quiz Creator, Colorful Butterflies, Best Friends Gifts...).
« On l'a pas fait exprès »
L'affaire est toutefois beaucoup moins grave que la diffusiondiffusion en juillet 2010 de cent millions de profils Facebook sur BitTorrentBitTorrent. « Il n'est même pas sûr que les développeurs de beaucoup des applications qui transmettent les Facebook ID étaient au courant que leurs applications le faisaient », nuance lui-même le journal. Il explique que l'identifiant était communiqué via le « referer » d'un lien hypertexte, donc par l'effet naturel des standards Web.
À chaque fois qu'un utilisateur clique sur un lien, la page où figurait le lien est transmise par le navigateur, y compris lorsqu'il s'agit d'une page d'un profil. En mai dernier, Facebook s'était déjà retrouvé au centre de préoccupations (grotesques) pour ses URL qui laissent apparaître l'ID des utilisateurs.
Mais beaucoup plus que la négligence supposée de Facebook ou des éditeurs d'applications, ces affaires posent surtout la question de l'éthique des annonceurs et des agences. Le journal cite le cas de la société RapLeaf, spécialisée dans l'agrégation de données sur les internautes, qui aurait lié le Facebook ID envoyé par les applications à des profils d'internautes qu'il connaissait déjà. Il revendait ensuite ces bases de données, notamment à des annonceurs. Face à cette accusation, la société et ses clients assurent en chœur qu'ils ne l'ont pas fait consciemment et ne l'ont pas exploité. Ce qui n'engage que ceux qui les croient...
Par ailleurs, dimanche, un autre journal, allemand celui-là (Frankfurter Allgmeine Sonntagszeitung, FAZ.Net pour sa version Web), affirmait dimanche 17 octobre qu'une faille grossière permet de récupérer les adresses d'un non-utilisateur de Facebook.