Un mail interne montre comment Facebook veut ‘normaliser’ les problèmes de sécurité

© PVL
Pieterjan Van Leemputten

Facebook préfère minimaliser la fuite de données restée irrésolue deux années durant. ‘A plus long terme, nous devrons la considérer comme un problème de secteur et la normaliser’, peut-on lire dans un mail interne que Data News a pu consulter.

Facebook a mis au point une stratégie de communication pour faire passer la fuite de données, par laquelle 533 millions de comptes, dont trois millions de belges, ont vu leurs données prendre la clé des champs, comme quelque chose qui concerne l’ensemble du secteur. En même temps, l’entreprise s’attend à ce que cela se reproduise encore et entend s’assurer avec des messages postés sur des blogs et consacrés au sujet qu’il n’est pas besoin de réagir à chaque incident du genre.

Voilà un bref résumé d’un mail de communication interne qui a abouti dans la boîte de Data News. Le mail même date du 8 avril, émane d’un responsable de la communication chez Facebook et cible les collaborateurs PR de l’entreprise dans la zone EMEA (Europe, Moyen-Orient et Afrique).

Le mail date donc de quelques jours avant l’annonce de la fuite de données et est avant tout un condensé des articles de presse couvant l’incident. On apprend ainsi que Facebook s’abstiendra de toute autre explication, parce que l’entreprise s’attend à ce que l’attention de la presse pour le problème aura tendance à s’atténuer. Ne pas réagir ou réagir modérément est une technique PR que Facebook utilise assez souvent pour limiter l’attention accordée par la presse à un problème.

‘Cadrer ce type d’incident comme étant un problème sectoriel’

Mais le mail contient aussi une ‘stratégie à long terme’ révélant comment Facebook veut faire passer la technique selon laquelle des données volées ont été collectées, en tant qu’un problème sectoriel et pas comme quelque chose qui concerne surtout Facebook. On y trouve explicitement aussi qu’il ne s’agira pas là du dernier incident du genre.

Voici le fragment en question dans le mail:

Un mail interne montre comment Facebook veut 'normaliser' les problèmes de sécurité
© PVL

‘A long terme, nous nous attendons à davantage d’incidents de ‘scraping’. Il est important de les cadrer comme un problème sectoriel et donc de les normaliser parce qu’ils se manifesteront régulièrement. Pour y arriver, l’équipe en place présentera dans les prochaines semaines un communiqué de suiv, qui expliquera plus en détail notre travail ‘anti-scraping’ et rendra plus transparent tout ce que nous faisons à ce propos. Cela pourra refléter certes une grande partie des activités de ‘scraping’, mais nous espérons que cela aidera le fait de normaliser ce type d’incident comme étant courant et d’empêcher la critique, selon laquelle nous ne sommes pas transparents en la matière.’

Le reste du mail contient entre autres des références à un plan de communication plus large avec des explications que les porte-parole locaux sont habilités à donner. On peut y lire en outre que la communication sur la ‘data portability’ (transmission des données d’utilisateurs) est postposée au 22 avril.

Le risque de ‘scraping’ connu depuis 2017, mais résolu en 2019 seulement

Data News a reçu le mail par inadvertance, alors que nous avions demandé à Facebook davantage de clarté à propos de la fuite de données, car la ligne du temps que l’entreprise utilise, n’est pas correcte et que nos questions restent sans réponse.

Le ‘scraping’ est une technique par laquelle quelqu’un puise des informations personnelles de profils ou de sites. Au début de ce mois, Facebook avait directement expliqué que le problème avait été découvert et résolu en août 2019.

C’est en fait incorrect. Le pirate éthique Inti De Ceukelaire avait averti l’entreprise en janvier 2017 déjà qu’il était possible de dénicher le numéro de téléphone de quelqu’un via Facebook. Il avait précisé à l’époque aussi qu’il était possible d’importer jusqu’à dix mille contacts à la fois.

Facebook avait réagi en lui faisant parvenir le message, selon lequel il ne s’agissait pas là d’un sérieux problème, ce qui fait qu’il resta possible pendant plus d’un an encore de déposer sur Facebook des numéros de téléphone et des adresses mail aléatoires et d’y voir à quels profils ils/elles appartenaient. Ce n’est que le 4 avril 2018 que Facebook annonça des mesures de restriction, mais qui s’avérèrent insuffisantes, puisqu’un an plus tard, d’autres actions encore furent entreprises.

Ces dernières semaines, Data News a fait à plusieurs reprises le forcing auprès de Facebook en vue d’obtenir de plus amples explications. Cette semaine, l’entreprise nous a signifié qu’à partir de 2019, des ‘améliorations’ seront apportées à la fonction d’importation des contacts. Elle n’a pas souhaité donner des détails explicites à ce propos pour des raisons de sécurité.

L’affirmation initiale, selon laquelle Facebook n’avait découvert qu’en 2019 que le ‘scraping’ était possible, est donc mensongère. Lorsque nous lui demandons si elle a sous-estimé la pratique, vu l’avertissement très concret émis en 2017 par De Ceukelaire, nous ne recevons pas de réponse.

Nouvel incident, ancienne stratégie

L’approche adoptée par Facebook n’est pas nouvelle. Lors de la manipulation électorale américaine en 2016, l’entreprise s’était au début également enfoui la tête dans le sable et refusé à assumer la moindre responsabilité.

Ce n’est que quand des preuves quasiment irréfutables furent brandies que le moteur PR de l’entreprise se mit en marche et que s’ensuivirent des blogs et des sessions avec des journalistes pour souligner qu’elle prenait des mesures contre les faux comptes et la manipulation sur sa plate-forme. Le mail interne de Facebook suggère cependant que c’est surtout pour faire apparaître qu’elle s’en occupe en continu, afin qu’il soit plus compliqué de réagir à des incidents individuels.

Est-ce un problème sectoriel?

Facebook a aussi de la chance dans le sens où une semaine après la fuite de données chez elle, les données de 500 millions de comptes LinkedIn ont fuité elles aussi, puis une semaine plus tard encore, des membres de Clubhouse furent aussi les victimes du ‘scraping’. Cela donne donc à penser que ce genre d’incident peut se passer partout. Le hic, c’est que la fuite de données chez Facebook est d’une autre catégorie de poids.

C’est ainsi que pour autant qu’on le sache, chez Clubhouse et chez LinkedIn, il est bien question d’informations qu’on peut aussi trouver en tant qu’utilisateur (non ami/connecté). Alors que chez Facebook, il s’agit notamment de numéros de téléphones et d’adresses mail qui, en théorie, étaient uniquement visibles par les amis. La possibilité de vous rendre vous-même ‘trouvable’ via un numéro de téléphone n’existe par défaut que chez Facebook.

Le ‘scraping’ se manifeste donc bien sur diverses plates-formes, mais Facebook donne aux ‘scrapers’ bien plus de données personnelles, non visibles pour les inconnus, que d’autres plates-formes. En même temps, l’entreprise avait permis en 2017 déjà de rendre la pratique possible sur sa plate-forme et avait refusé deux années durant de prendre les mesures qui s’imposaient. Si elle avait à l’époque colmaté les brèches dans son système, ces données n’auraient jamais pu être collectées.

Le problème n’est donc pas que les ‘scrapers’ ont pris Facebook pour cible, mais bien que l’entreprise n’a rien fait pour contrer suffisamment la pratique et ce, jusqu’au jour où un demi-milliard de données se sont retrouvées à la rue.

Un mail interne montre comment Facebook veut 'normaliser' les problèmes de sécurité
© PVL

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire