BFM Business
Services

Des traqueurs publicitaires récupèrent aussi vos données Facebook

-

- - -

D’après plusieurs chercheurs, les données d’utilisateurs Facebook ont été collectées par des traqueurs de publicité placés sur des centaines de sites Web.

Par souci de simplicité, les internautes décident souvent de créer un compte sur un site Web en se connectant via leur compte Facebook. Une façon de gagner du temps, et, pour le service en question, de mettre la main sur les données personnelles de son nouvel utilisateur. Grâce à cette fonction, le cabinet de conseil Cambridge Analytica avait pu collecter les informations d’au moins 87 millions de personnes, pour les utiliser à des fins politiques. Des ingénieurs du centre de recherche américain Freedom To Tinker viennent de découvrir que dans certains cas, ces données sont également transmises à des sociétés spécialisées dans la publicité en ligne.

Sur le Web, de nombreux sites intègrent des traqueurs publicitaires, des “bouts” de code informatique qui permettent de suivre à la trace le comportement des internautes, dans le but de leur proposer de la publicité ciblée. Lorsque l’internaute se connecte en passant par son compte Facebook, il accepte que ses informations personnelles - toutes les données publiques, mais également des données privées - soient partagées avec le service en question. Il peut s’agir de son nom, son âge, son genre, ou de sa photo de profil. D’après Freedom To Tinker, les éditeurs de certains traqueurs présents sur ces sites ont également mis la main dessus, sans le consentement de l’utilisateur.

434 sites concernés

Parmi le million de sites Web les plus consultés, 434 seraient concernés. Freedom To Tinker évoque notamment le cas de Bandsintown, un site qui permet d’être alerté des concerts de ses artistes préférés. En incitant les utilisateurs à se connecter via leur compte Facebook, le site a également collecté des données pour son service publicitaire, baptisé Amplified.

-
- © -

Ce dernier, qui a pour clients des éditeurs de sites spécialisés dans le domaine de la musique, pouvait ainsi proposer une offre publicitaire basée sur des informations personnelles recueillies sans le consentement explicite de l’utilisateur : au moment d’appuyer sur le bouton “se connecter avec l’application Facebook”, ce dernier était informé du partage de ses données avec Bandsintown, mais pas avec Amplified.

D'après Bandsintown, ce script n'a jamais été utilisé et a depuis été désactivé. "Bandsintown ne partage jamais les données privées de ses utilisateurs avec qui que ce soit, y compris les sites dont nous assurons la régie publicitaire. La protection de la vie privée et la sécurité des données de nos utilisateurs ont toujours été au premier rang de nos priorités. Un groupe de recherche étudiant nous a alerté d'une potentielle faille de sécurité dans un de nos scripts, celui n'étant par ailleurs jamais utilisé. Nous l'avons diligemment supprimé, ce qui est d'ailleurs indiqué dans leur papier. A notre connaissance, aucune tierce partie n'a bénéficié de cette potentielle faille de sécurité", confirme un porte-parole de l'entreprise.

Quelques jours après l’audition de Mark Zuckeberg par le Congrès américain, l’affaire pose une nouvelle fois la question de la responsabilité de Facebook dans la transmission de nos données personnelles à des tiers. Sur le papier, le fait que des traqueurs se “greffent” au système d’authentification par son compte Facebook est interdit par les règles du réseau social. Contacté par le site américain TechCrunch, Facebook confirme avoir lancé une enquête interne sur le sujet, tout en limitant l’accès à certaines données lors de l’usage de la fonction de connexion via Facebook.

Combien d’internautes touchés ?

Le 17 avril dernier, une ancienne cadre de Cambridge Analytica estimait que son ex-employeur pourrait avoir collecté davantage de données qu’annoncé. Pour obtenir ces données, la firme avait pu compter sur l’éditeur d’une application de test de personnalité, baptisée MyDigitalLife. Le service incitait alors les utilisateurs à se connecter grâce à leur compte Facebook. Brittany Kaiser estime que d’autres applications ont été créées dans le but de collecter des données personnelles pour Cambridge Analytica.

En 2014, 270 000 personnes avaient téléchargé MyDigitalLife. A l’époque, la connexion grâce au bouton Facebook permettait à l’éditeur d’avoir accès aux données de l’utilisateur, mais également à celles de ses amis. Une possibilité - par la suite limitée par Facebook - qui a multiplié le nombre d’internautes concernés, de façon exponentielle.

Mais alors que le scandale Cambridge Analytica est basé sur l’usage de 270 000 personnes, combien d’internautes ont navigué sur les 434 sites évoqués par Freedom To Tinker, à la même époque? Cet exemple montre que Facebook peut avoir du mal à sécuriser nos données personnelles, dès lors qu’elles sont échangées avec des tiers. Le réseau social n’est cependant pas le seul. Fin 2017, les chercheurs de Freedom To Tinker démontraient comment des scripts pouvaient avoir accès à nos mots de passe, sur les principaux navigateurs Web.

Mise à jour du 23/04 à 08h58 : la réaction d'un porte-parole de Bandsintown a été rajoutée.

https://twitter.com/GrablyR Raphaël Grably Rédacteur en chef adjoint Tech & Co