par L’histoire trouble de Facebook consistant à laisser des applications tierces se servir des données des utilisateurs dont vous vous souviendrez peut-être a explosé dans un scandale mondial majeur en matière de confidentialité en 2018 (alias Cambridge Analytica), faisant grimper le cours de l’action de l’entreprise, conduisant son fondateur à être traîné devant Le Congrès – et enfin, à la mi-2019, à un règlement de 5 milliards de dollars avec la FTC sur ce qui a parfois été signalé par euphémisme comme des « manquements à la vie privée » – semble revenir le hanter via une découverte légale non scellée.
Des documents internes dans un litige lié à la confidentialité qui a émergé à la fin du mois dernier ont incité les présidents de la commission spéciale du Sénat américain sur le renseignement, Mark Warner et Marco Rubio, à écrire une lettre à Mark Zuckerberg de Meta pour lui poser de nouvelles questions sur ce que lui et son entreprise savaient. combien de données utilisateur la plate-forme fuyait à l’époque. Et quelles implications de sécurité peuvent être attachées à ces fuites.
Le fait est que, selon les documents non scellés, la société maintenant connue sous le nom de Meta semble avoir soupçonné que les développeurs de juridictions à haut risque où les régimes autoritaires sont connus pour « recueillir des données pour le ciblage du renseignement et le cyber-espionnage » – y compris la Corée du Nord, la Russie, la Chine et Iran – faisaient partie des milliers d’autres accédant aux données personnelles des utilisateurs de Facebook via le même type de route d’autorisations de données d’amis que l’ensemble de données de Cambridge Analytica a été extrait par le développeur sous contrat, GSR.
« Il ressort de ces documents que Facebook sait, depuis au moins septembre 2018, que des centaines de milliers de développeurs dans des pays que Facebook qualifie de « à haut risque », dont la République populaire de Chine (RPC), ont accès à des quantités importantes de données utilisateur sensibles », écrivent-ils.
“En tant que président et vice-président de la commission sénatoriale sur le renseignement, nous avons de sérieuses inquiétudes quant à la mesure dans laquelle cet accès aurait pu permettre l’activité des services de renseignement étrangers, allant de l’influence malveillante étrangère au ciblage et à l’activité de contre-espionnage”, a déclaré le couple. ajouter, pressant Meta de répondre à une série de questions sur la façon dont il a agi après que son audit interne ait signalé que les données des utilisateurs pouvaient avoir été consultées par des milliers de développeurs dans des endroits à haut risque.
Il est juste de dire que Meta n’aime pas s’attarder sur un scandale d’échec de l’accès aux données/de l’application des politiques qui a conduit son fondateur à s’asseoir sur un coussin d’appoint au Congrès et à être interrogé par des législateurs américains furieux. Très probablement parce qu’il a payé 5 milliards de dollars à la FTC pour faire disparaître tout le scandale – un règlement qui accordait commodément une immunité générale à ses dirigeants pour toute violation connue ou inconnue de la vie privée.
Mais le problème avec Meta qui veut que tout l’épisode soit classé sous “résolu pour toujours”, c’est qu’il n’a jamais répondu à toutes les questions posées par les législateurs à l’époque. Ni dans les années qui ont suivi – car des détails supplémentaires sont apparus.
Il n’a même pas publié les résultats de l’audit d’application tiers que Zuckerberg s’est engagé à réaliser en 2018. (Bien que nous ayons découvert – indirectement, en 2021 – qu’un accord conclu avec le chien de garde de la vie privée du Royaume-Uni comprenait une clause de bâillon qui empêchait le commissaire de parler publiquement de l’enquête.)
Pourtant, cet audit d’application tiers encore non publié constituait la clé de voûte de la réponse de Facebook à la crise en matière de relations publiques à l’époque – une comptabilité complète promise qui a réussi à protéger Zuckerberg et son entreprise d’un examen plus approfondi. Exactement au moment où la pression était la plus forte pour expliquer comment les informations sur des millions d’utilisateurs ont été extraites de sa plate-forme par un développeur avec authentique accéder à ses outils à l’insu ou sans le consentement des utilisateurs réels de Facebook.
Le prix de ce blindage a probablement été assez élevé – à la fois sur le plan de la réputation de Meta (qui, après tout, a ressenti le besoin d’entreprendre un changement de marque coûteux et d’essayer de recadrer ses activités dans le nouveau domaine de la réalité virtuelle) ; et aussi dans les futurs coûts de conformité (qui évidemment n’affecteront pas seulement Meta) car un certain nombre de lois rédigées dans les années qui ont suivi le scandale cherchent à imposer de nouvelles limites opérationnelles aux plateformes. Des limites souvent justifiées par un cadrage qui met en avant une perception d’imputabilité des Big Tech. (Voir, par exemple, le projet de loi sur la sécurité en ligne du Royaume-Uni qui inclut même, dans un ajout récent, des sanctions pénales pour les PDG qui enfreignent les exigences. Ou la loi sur les services numériques et la loi sur les marchés numériques de l’UE.)
Pourtant, Meta a réussi à éviter le type d’examen approfondi de ses processus internes, de ses politiques et de sa prise de décision qui a ouvert la voie à Cambridge Analytica sous la surveillance de Zuckerberg – et, potentiellement, à des dizaines de cambriolages de données similaires. , au moins par détails émergeant via la découverte légale.
C’est pourquoi le spectre de la réapparition de la responsabilité défaillante de Facebook est fascinant. (Voir aussi: Un litige en matière de confidentialité que Meta a finalement décidé de régler l’année dernière, avec un calendrier qui a apparemment épargné à Zuckerberg et à l’ancienne COO Sheryl Sandberg d’avoir à comparaître en personne après avoir été déposés pour témoigner – pour un prix de règlement qui n’a pas été divulgué.)
Reste à savoir si quelque chose de substantiel découle de la dernière visite du fantôme des scandales de confidentialité non résolus sur Facebook. Mais Meta a maintenant une nouvelle longue liste de questions délicates de la part des législateurs. Et s’il essaie d’esquiver des réponses substantielles, ses dirigeants pourraient faire face à une nouvelle convocation à un comité public de grillage. (Ce n’est jamais le crime, c’est la dissimulation, etc.)
Voici ce que le Comité demande à Meta de répondre concernant les conclusions de l’enquête interne :
1) Le document non scellé note que Facebook a mené des examens séparés sur les développeurs basés en RPC [People’s Republic of China] et la Russie “compte tenu du risque associé à ces pays”.
- Quels examens supplémentaires ont été effectués sur ces développeurs ?
- Quand cet examen supplémentaire a-t-il été terminé et quelles en ont été les principales conclusions ?
- Quel pourcentage des développeurs situés en RPC et en Russie Facebook a-t-il pu identifier définitivement ?
- Quelles communications, le cas échéant, Facebook a-t-il eues avec ces développeurs depuis son identification initiale ?
- Quels critères Facebook utilise-t-il pour évaluer le « risque associé à » l’opération en RPC et en Russie ?
2) Pour les développeurs identifiés comme étant situés en RPC et en Russie, veuillez fournir une liste complète des types d’informations auxquelles ces développeurs ont eu accès, ainsi que les délais associés à cet accès.
3) Facebook dispose-t-il de journaux complets sur la fréquence à laquelle les développeurs de juridictions à haut risque ont accédé à ses API et les formes de données consultées ?
4) Veuillez fournir une estimation du nombre d’utilisateurs discrets de Facebook aux États-Unis dont les données ont été partagées avec un développeur situé dans chaque pays identifié comme « juridiction à haut risque » (ventilé par pays).
5) Le document interne indique que Facebook établirait un cadre pour identifier les “développeurs et applications déterminés comme étant les plus potentiellement à risque[.]”
- Comment Facebook a-t-il établi cette rubrique ?
- Combien de développeurs et d’applications basés en RPC et en Russie ont atteint ce seuil ? Combien de développeurs et d’applications dans d’autres juridictions à haut risque ont atteint ce seuil ?
- Quelles sont les spécificités de ces développeurs qui ont donné lieu à cette détermination ?
- Facebook a-t-il identifié des développeurs comme trop risqués pour fonctionner en toute sécurité ? Si oui, lesquelles ?
6) Le document interne fait référence à votre engagement public à “effectuer un audit complet de toute application présentant une activité suspecte”.
- Comment Facebook caractérise-t-il une « activité suspecte » et combien d’applications ont déclenché ce processus d’audit complet ?
7) Facebook dispose-t-il d’indications selon lesquelles l’accès d’un développeur a permis une activité coordonnée inauthentique, une activité de ciblage ou tout autre comportement malveillant de la part de gouvernements étrangers ?
8) Facebook dispose-t-il d’éléments indiquant que l’accès des développeurs a permis des publicités malveillantes ou d’autres activités frauduleuses de la part d’acteurs étrangers, comme l’ont révélé des rapports publics ?
Invité à répondre aux préoccupations des législateurs, le porte-parole de Meta, Andy Stone, n’a pas répondu à des questions spécifiques, notamment s’il publiera enfin l’audit de l’application ; et s’il s’engagera à informer les utilisateurs dont les informations ont été compromises en raison des fonctionnalités de sa plate-forme de développement (il est donc probable que ce soit un “non” et un “non”) – en choisissant plutôt d’envoyer cette brève déclaration :
Ces documents sont un artefact d’un produit différent à un moment différent. Il y a de nombreuses années, nous avons apporté des changements substantiels à notre plate-forme, fermant l’accès des développeurs aux principaux types de données sur Facebook tout en examinant et en approuvant toutes les applications qui demandent l’accès à des informations sensibles.
