La semaine dernière, le hashtag #Six4Three a commencé à circuler sur Twitter. Peu après, les choses sont devenues explosives avec un nombre croissant de journalistes (notamment britanniques) annonçant qu'un député anglais allait publier des documents confidentiels concernant Facebook incessamment sous peu. C'est vrai qu'avec Facebook et ses pratiques, on va de rebondissement en rebondissement, avec chaque épisode de la saga révélant toujours davantage de machinations... Là, tout est parti d'une histoire de bikinis.

Parlons-en donc : c'est l'histoire d'une application identifiant des gens en bikinis sur Facebook et son bras de fer judiciaire avec le réseau social, bataille ayant notamment mené à la publication de 250 pages de documents et communications internes à Facebook. Ces derniers permettent de mieux appréhender la sauce, peu ragoûtante, à laquelle nos données à caractère personnel sont mangées.

publicité

Amour, gloire et député

Il y a quelques années, la v1 de la Graph API de Facebook permettait à tout développeur d'applications de récupérer énormément de données sur l'utilisateur et ses « amis ». Une API open bar, en quelque sorte. En 2015, le robinet a été coupé par Facebook, les développeurs d'applications ne pouvaient donc plus avoir accès aux données à caractère personnel des « amis » d'utilisateurs utilisant leurs applis. Après des années d'incitation à utiliser cette API, y couper l'accès n'a pas été au goût de tous. Même qu'une coalition de développeurs trompés s'est créée. Parmi les grincheux, une start-up du nom de Six4Three qui développait Pikinis, une appli identifiant des gens en bikinis à partir de photos partagées sur Facebook. Totalement inutile, donc indispensable.

Six4Three a donc décidé de traîner Facebook en justice. La raison principale évoquée au début était que Facebook souhaitait limiter l'accès aux données dès 2012 mais continuait à mentir aux développeurs et à les attirer sur son service. Les griefs de la start-up ont ensuite évolué, accusant Facebook d'imposer des achats de publicités aux développeurs en échange d'accès aux données. La semaine dernière, lors d'une audition à Londres, Facebook a démenti avoir vendu des données de ses utilisateurs et a rappelé que, malgré les discussions internes autour des différents modèles économiques, l'API est toujours restée gratuite.

Bien sûr, c'est la parole de l'un contre celle de l'autre. Et aucune des parties n'en sort indemne... C'est là où les choses deviennent intéressantes : la situation, digne d'une pièce de Shakespeare, qui a mené à la publication des documents permettant de sortir de la tendance au surpourrissement entre les adversaires. Après tout, les fonctionnalités qu'exploitait Six4Three sont les mêmes qui ont permis le Grand Détournement : les abus au centre du scandale Cambridge Analytica. C'est là où un député britannique, cherchant à remettre les pendules à l'heure à propos de ce scandale, entre en scène.

Le député Daniel Collins a essayé à différentes reprises d'avoir accès aux documents en question. Cependant, Facebook ayant invoqué la législation californienne, les docs ne peuvent être transmis à des tiers non-impliqués dans les bisbilles judiciaires. Jusqu'à ce que... le fondateur de Six4Three aille à un voyage d'affaires à Londres et qu'un Sergent d'Armes du Parlement britannique se pointe à sa chambre d'hôtel en demandant les documents. Par peur de ne pouvoir quitter le territoire, le monsieur a transmis les documents sur une clé USB au digne Sergent.

Mes usages et leurs mésusages à oualpé

En termes simples, on est face à un précédent international où des députés d'une juridiction outrepassent, de façon assez cavalière, les exigences d'une autre juridiction... Mais regardons ces documents (PDF ; version facile à exploiter disponible sur GitHub) de plus près plutôt que de spéculer sur les implications de la manœuvre.

Ce qui en ressort entre autres, c'est que même après que l'API a été restreinte pour de bon (mai 2015), certaines organisations continuaient à y accéder de façon privilégiée. Parmi celles-là sont AirBnb, Netflix, Lyft, Krysler/Fiat. D'après le député Collins, cet accès a été autorisé sans recueillir le consentement des utilisateurs ; il n'est même pas certains que ceux-là aient été informés. Pire encore, les personnes utilisant l'application Facebook ont également donné à l'insu de leur plein gré accès aux historiques d'appel. D'après les documents, l'objectif de Facebook a toujours été de rendre cette collecte de données la plus transparente possible : ainsi, l'appli vous suggère des gens que vous pouvez connaître également à partir des données d'appels téléphoniques.

La suite des échanges documentés est aussi instructive quant à la stratégie de sabotage de la concurrence. Ainsi, on y retrouve par ex. la décision de révoquer l'accès de Twitter à l'API quand Twitter a lancé Vine. Le cas d'Onavo ressort de façon significative. Lors de l'annonce du rachat d'Onavo par Facebook, le domaine d'activité d'Onavo est la connaissance des usages sur smartphone (analytics mobile). Plus spécifiquement, Onavo fournissait une appli gratuite permettant d'optimiser son mobile et de suivre la performance de la batterie. En direction des éditeurs d'applications, Onavo fournissait des indicateurs de performance de leurs applis (usagers, comparaison avec les concurrents).

En 2013, lorsque son rachat a été annoncé, l'objectif affiché est de renforcer la présence de Facebook sur mobile. Ce rachat, ainsi que plusieurs autres intervenus à cette époque, participe effectivement à la stratégie de l'époque du réseau social de sortir de l'environnement desktop-only et de consolider une position de tête parmi les applications mobiles. Le recours au mobile comme outil principal d'accès à Internet et services numériques, notamment dans les pays dits « du Sud », est la grande préoccupation de plein d'éditeurs. Le bon vieux temps, quand le technosolutionnisme battait son plein, mais aussi la belle époque de l'essor spectaculaire des services mobiles.

L'illusion de sécurité

Bien sûr, il serait inutile de verser dans l'angélisme et se prosterner en mode « on nous manipule ». Il ne reste pas moins que vouloir avoir une connaissance fine de la performance de ces applis et de celles des concurrents ne signifie pas cacher à ses usagers qu'on les espionne. Pire, créer des applications qui se déguisent en protectrices et qui siphonnent des données. C'est précisément ce que fait le service Protect d'Onavo, markété comme un VPN gratuit. L'application promet la confidentialité des données, mais l'utilisateur n'est jamais prévenu que le serveur recevant ses données de navigation appartient à Facebook.

C'est, somme toute, intelligent comme approche : si je veux savoir quelles applications et/ou spécificités les gens préfèrent, je dois suivre l'utilisation complète ; si je réalise que mes concurrents ont une caractéristique que je n'ai pas, je peux par ex. décider de la développer. Prenons par ex. le développement de Stories sur Instagram pour concurrencer Snapchat... ou encore, la décision de couper l'accès à l'API quand Twitter a lancé Vine.





Exemple des informations provenant des services d'Onavo. Capture issue des documents.

Le prétendu VPN gratuit était semi-intégré dans l'application Facebook pour iOS au Royaume-Uni en 2016 et aux Etats-Unis début 2018. (Pour l'instant, l'option ne semble pas activée pour les utilisateurs français, ni sur Android, ni sur iOS.) On pouvait l'utiliser en cliquant le bouton Protect dans le menu de l'application Facebook, action qui amenait sur l'AppStore où l'application VPN pouvait être installée. Le soi-disant VPN collecte des palanquées de données dont tous les usages par Facebook ne sont pas clairs. Fin août 2018, Apple a décidé que ce n'est plus trop la fête du slip et qu'on ne peut pas faire tout et n'importe quoi avec les données à caractère personnel de ses clients : il a poliment demandé à Facebook d'enlever l'appli VPN de l'AppStore. Apparemment, le fonctionnement de l'appli est en violation des règles AppStore. Si Facebook s'est exécutée et l'application Protect semble absente de l'AppStore (y compris en France), on la retrouve bien portante sur Google Play avec plus de 10 millions téléchargements.

A vos Like, donc ?