Quelques jours après avoir reçu une amende record de 5 milliards de dollars, Facebook anime une nouvelle fois les internautes sur les sujets de projection de la vie privée. La société de Mark Zuckerberg est experte en la matière ce qui lui permet d’avoir un des outils publicitaire les plus puissants de la toile. Dernièrement, un australien, chercheur en cybersécurité, a remarqué la présence d’un code dans les métadonnées de photos téléchargées sur Facebook. Il permettrait de suivre ladite image en dehors de sa plateforme, et ainsi la relier à un utilisateur.

Des données IPTC dans les images

Les données IPTC sont ce qu’on appelle des métadonnées. Elles sont cachées dans une image afin d’être récupérées dans un autre logiciel, ou sur un autre site, afin de présenter certaines informations. Cela peut être un copyright, une légende ou description du cliché, etc.

Dans le cas de Facebook, ce qui est laissé est une suite de chiffres et de lettres. Grâce à cela, le réseau social peut suivre une image qui a été publiée sur son réseau social lorsqu’elle est partagée ailleurs.

#facebook is embedding tracking data inside photos you download. I noticed a structural abnormality when looking at a hex dump of an image file from an unknown origin only to discover it contained what I now understand is an IPTC special instruction. Shocking level of tracking.. pic.twitter.com/WC1u7Zh5gN — Edin Jusupovic (@oasace) 11 juillet 2019

Pour l’instant, impossible d’identifier ce qui est caché derrière cette série.

Du tracking ? Oui. Mais pour quoi faire ?

La présence de ce code peut avoir de multiples applications pour le suivi de l’image, et pas nécessairement celui de l’utilisateur. Ainsi, la première application logique serait la protection de la propriété de l’image. Si Facebook n’est pas vraiment connu pour savoir protéger les ayants droits, il doit tout de même se mettre au diapason. De cette manière, si une grande marque, ou un photographe se plaint de l’utilisation abusive de ses créations, Facebook pourrait rapidement retrouver les contenus en question.

L’autre aspect important, c’est la protection des utilisateurs contre les contenus choquants, et proscrits. Ça a été le cas avec la vidéo en direct de l’attentat de Christchurch. Si le live du terroriste n’a été vu que par moins de 200 personnes, un petit groupe l’a téléchargé, puis repartagé. De par la recherche de viralité omniprésente sur le réseau social, la vidéo a été repartagée 1,5 million de fois, mais instantanément supprimée par Facebook. Si l’on peut remercier l’intelligence artificielle, il est possible que des métadonnées permettent de pré-identifier la vidéo si par exemple elle a été modifiée pour tromper les algorithmes.

Dernièrement, et le plus préoccupant des cas d’utilisation de ces données IPTC, c’est le suivi des utilisateurs. Imaginez que vous téléchargiez vos photos de vacances sur Facebook, puis que vous les récupériez pour les mettre sur votre blog personnel, ou ailleurs sur le web. Ce code permettrait à la société de Mark Zuckerberg de vous identifier en dehors de son écosystème. Ainsi, cela lui permet d’en connaitre plus sur vous, vos centres d’intérêt, afin de renforcer son outil de ciblage publicitaire.

Cette approche peut également permettre d’identifier des liens entre plusieurs personnes, sans avoir recours à la reconnaissance faciale. Par exemple, si une personne repartage la photo d’une autre.

Si cette dernière hypothèse s’avère plus concluante que les autres, cela va lever à nouveau des doutes sur le réseau social, et les données qu’il est en mesure de collecter. Cependant, cette pratique n’est pas nouvelle, puisqu’en 2015 un utilisateur de Stack Overflow avait identifié un code similaire, débutant par FBMD. Néanmoins, on peut s’inquiéter du véritable respect de notre vie privée dès lors que l’on ne navigue plus sur Facebook, et des indices que nous lui laissons un peu partout. De plus, s’il s’agit bien d’un tracking des utilisateurs, qu’en dit le RGPD ?

« Le code surligné est utilisé pour faciliter le chargement des images sur les appareils mobiles et n’est pas relié à la personne qui télécharge la photo ou à la personne qui la regarde. Nous ajoutons également du code dans les outils construits par nos équipes de sécurité et de sûreté pour nous aider à détecter les abus, comme l’usurpation d’identité, » nous a cependant précisé un Porte-parole sur Facebook quelques jours après la publication de notre article.

Mise à jour : Nous avons corrigé cet article car il s’agit d’un code, et non de code informatique. Cette tournure pouvait induire en erreur le lecteur.