On en viendrait presque à les plaindre : chaque effort que fournit Facebook pour garantir «plus de transparence» ou «un meilleur contrôle» de la vie privée finit irrémédiablement contrebalancé par un nouveau scandale -- voire deux. Le dernier épisode en date n'y a pas coupé. Mercredi 6 octobre 2010, le réseau social lance une fonctionnalité permettant de télécharger son propre profil (pour la «transparence» ) et de nouvelles options pouvant bloquer l'accès des applications à certains informations personnelles (pour le «contrôle» ). Le même jour -- c'est vraiment pas de bol --, bim ! Un blogueur du Guardian révèle que l'application iPhone de Facebook pioche tous les numéros du répertoire de son appareil hôte pour les envoyer aux serveurs de Palo Alto et, accessoirement, sur la toile . Hier, lundi 18 octobre, bam ! Le Wall Street Journal affirme que certains développeurs d'applications sur Facebook transmettent l'identité de leurs utilisateurs à des partenaires publicitaires.
Selon l'enquête d'Emily Steel et Geoffrey Fowler du WJS , « les dix applications les plus populaires sur Facebook» sont concernées, sans exception. Cinq d'entre elles appartiennent à la société Zynga, réseau géant dont le catalogue de jeux compte Farmville (59 millions d'utilisateurs), Texas HoldEm Poker (36 millions), FrontierVille (30 millions), Mafia Wars (21 millions)... Au total, Zynga accède régulièrement à près de 218 millions de profils Facebook -- une impressionnante base de données qui ne doit pas laisser de marbre les 25 régies publicitaires qui auraient été bénéficiaires de ces fuites d'informations. Plusieurs d'entre elles sont spécialisées dans le ciblage comportemental, établissant «des profils-type d'internautes en traçant leurs activités en ligne» .
C'est très précisément «le numéro d'identification unique assigné à chaque membre de Facebook» , ou «UID», qui a tendance à fuiter. Facebook s'est empressé de minimiser l'affaire sur son blog des développeurs : «Les articles de presse ont exagéré les implications que peut avoir le partage d'un UID. Connaître un UID ne permet à personne d'avoir accès à des informations privées sans l'accord explicite de l'internaute concerné.» Cette affirmation, bien que techniquement exacte, a la fâcheuse particularité de jouer sur les mots. Le numéro UID permet en effet d'accéder à n'importe quel profil de membre Facebook lorsqu'il est inséré dans une adresse URL du type facebook.com/profile.php?id= . Mark Zuckerberg, le jeune PDG de Facebook, a par exemple l'UID n°4, et l'adresse facebook.com/profile.php?id=4 renvoie à son profil en ligne. On n'y trouve ni la liste de ses amis ni ses albums photo, car l'accès à ces données est réservé à ses amis : elles sont donc considérées comme «privées». En revanche, son nom, sa date de naissance et sa ville, ainsi que d'autres informations qu'il a choisi de montrer «à tout le monde» via les paramètres de confidentialité, sont classées comme «publiques» selon la terminologie Facebook et lisibles en clair. Il n'en reste pas moins que ce genre de données est généralement considéré comme relevant de la vie privée, et que les membres Facebook ne pensaient peut-être pas inclure des régies publicitaires dans ce «tout le monde» auquel ils permettent la lecture de leurs données.
Alors que les sociétés de ciblage publicitaire se défendent d'utiliser des informations nominatives reçues dans ce type de contexte, le Wall Street Journal affirme qu'au moins une d'entre elles a procédé à des recoupements de fichiers informatiques qu'elle a ensuite revendus. «RapLeaf a inclus les numéros ID des utilisateurs d'applications Facebook dans sa propre base de données d'internautes, qui est commercialisée. RapLeaf a également transmis les ID Facebook obtenus à une douzaine d'autres entreprises.»
Mais personne, ni du côté de Facebook ni de celui des régies, ne semble vouloir endosser une part de responsabilité dans l'affaire dévoilée par le quotidien américain. «Dans la plupart des cas, les développeurs n'ont pas transmis ces informations de leur plein gré» , se défend Mike Vernal de l'équipe de développement Facebook. «Des détails techniques inhérents au fonctionnement des navigateurs Internet qui sont en cause.» Du côté de RapLeaf, gravement mis en cause, même son de cloche : «On ne l'a pas fait exprès» , clame le vice-président du développement commercial Joel Jewitt.
La polémique est d'autant plus gênante qu'elle en rappelle furieusement une autre , révélée au mois de mai par le même journal. Les régies Google DoubleClick et Yahoo Right Media avaient révélé qu'elles recevaient en clair le numéro ID de chaque membre Facebook cliquant sur une de leur publicités, alors que ces informations auraient dû être automatiquement chiffrées au moment de leur transmission. Un porte-parole du réseau social interrogé par le WJS reconnaît que cette fois, il faudra faire face à «un défi technique encore plus compliqué que celui auquel [ils ont] fait face au printemps dernier» . Et promet que l'équipe de développement est décidée à le relever.
Sur le même sujet :
- iPhone : Facebook lorgne sur le répertoire téléphonique (11/10/2010)
- Promo Facebook : une identité offerte pour une pub cliquée ! (21/5/2010)