«Facebook», «vie privée», «polémique» : mais pourquoi diable s'est-on fatigué, sur Ecrans.fr, à créer trois mots-clés différents puisqu'ils finissent toujours apposés sur les mêmes articles ? Cinq ou six fois par an, invariablement, le même scénario se répète et on redécouvre que la différence sémantique entre les mots «privé» et «public» n'a pas cours sur Facebook. Parfois, le scandale naît d'une embarrassante faille technique dénichée par le Wall Street Journal (comme en mai puis en octobre 2010), qui autorise malencontreusement la fuite de données vers les carnets d'adresses de régies publicitaires qui n'auraient jamais dû mettre la main dessus. D'autres fois, c'est une nouvelle fonctionnalité annoncée fièrement sur le blog officiel du réseau social : pour plus de sécurité, donnez-nous votre numéro de téléphone ! Ben voyons...
Ces dernières semaines, de nombreux utilisateurs ont lu ce petit message d'avertissement sur leur page d'accueil Facebook, les informant que leur profil n'était pas assez «sécurisé» et proposant d'y remédier en plusieurs étapes. L'une d'entre elle consistait à communiquer un numéro de téléphone mobile auquel Facebook pourrait renvoyer, sur demande, un mot de passe de connexion oublié. Une attention très délicate. Le réseau social a ainsi dû enrichir sa base de données, très rapidement, de quelques millions de numéros de téléphone.
Puis, samedi 15 janvier, un billet de blog annonce aux développeurs d'applications, dans un jargon un peu technique, l'arrivée de deux nouveaux «champs Objet Utilisateurs» : user_address et user_mobile_phone . En clair, cela signifie que toutes les applications pourront désormais avoir accès à l'adresse postale et au numéro mobile des internautes qui l'ont autorisé. Et pour que les feux verts soient donnés en connaissance de cause, ces deux informations, un poil plus sensibles que les traditionnels «nom», «liste d'amis» et «photo de profil» auxquels les applications ont déjà accès, sont clairement mises en valeur dans les boîtes de dialogue :
Mais si les deux types d'informations sont bien séparés visuellement, cela ne signifie pas qu'on pourra différencier les autorisations : impossible de dire «ok» pour l'un et «niet» pour l'autre, c'est tout ou rien.
La société de sécurité Sophos, qui a réagi sur son blog , n'y va pas par quatre chemins : «les arnaqueurs ne mettront pas longtemps à tirer profit de cette nouvelle fonctionnalité, et à utiliser vos informations à des fins criminelles. Notre conseil est simple : retirez immédiatement votre adresse postale et votre numéro de téléphone de votre profil Facebook.»
Manifestement inquiet des retombées médiatiques de son dernier coup d'éclat, le service communication de Facebook a déjà contacté PC INpact pour apporter des «précisions» sur leurs nobles intentions, dans une grammaire très Google-traductionnesque : «Par exemple, une application que vous utilisez fréquemment est bien plus pratique pour vous lorsqu'il connaît déjà votre adresse postale pour une confirmation de commande pour rapide et une compagnie aérienne vous fournira un bien meilleur service client si elle possède votre numéro de téléphone portable pour vous tenir rapidement au courant des changements de dernière minute au niveau des itinéraires ou des horaires » .
Malheureusement, les scénarios imaginés par Sophos sont autrement plus percutants : «On imagine déjà, par exemple, que des personnes mal intentionnées pourront créer une application qui collecte les numéros de téléphone mobile pour les revendre à des entreprises de démarchage publicitaire ou envoyer des spams par SMS. L'accès à l'adresse postale des internautes, si on la combine aux autres informations qui peuvent déjà être extraites des profils Facebook, ouvre également la porte aux usurpations d'identité.»
Mais qu'on se rassure : Facebook précise que «vous ne pouvez pas partager l'adresse de vos amis ou leur numéro de portable» en autorisant une application à piocher dans votre propre profil. Encore heureux...