Facebook payait de jeunes utilisateurs pour siphonner leurs données

Mickaël Bazoge |

À chaque jour son nouveau scandale Facebook, ou presque. TechCrunch a révélé que depuis 2016, le réseau social rémunérait jusqu’à 20 $ par mois des utilisateurs âgés de 13 à 35 ans pour absolument tout savoir de leurs faits et gestes sur leurs smartphones. En interne, cette initiative — qui ne redorera pas le blason de Facebook — a été baptisée « Project Atlas ».

Il fallait signer de son sang faire confiance à Facebook avant d’installer l’app espion.

Ces cobayes prêts à vendre leur vie numérique pour trois francs six sous devaient télécharger une application baptisée Facebook Research, qui basiquement installe un VPN : toutes les données transitent par le réseau privé mis en place par cette app. Son mode de fonctionnement est similaire à celui d’Onavo, le VPN un temps proposé au sein même du client Facebook. Apple a fini par obtenir le retrait de cette application.

Au contraire d’Onavo, Facebook Research devait être téléchargé non pas depuis l’App Store, mais via un certificat d’entreprise. Cette technique permet de déployer des apps internes au sein d’une flotte d’appareils iOS sans la limitation de TestFlight (10 000 utilisateurs maximum), réservé aux développeurs.

Le certificat Facebook Research à installer sur l’iPhone du cobaye.

Une fois que l’utilisateur donne son aval à l’installation de cette application, cette dernière peut siphonner un maximum de données provenant du smartphone. Tout y passe : conversations chiffrées dans les messageries instantanées, courriels, recherche sur internet, navigation web, localisation… Au bonheur du mateur.

D’après l’expert en sécurité Will Strafach, Facebook Research et Onavo partagent beaucoup de points en commun, que ce soit dans le code de ces applications ou l’adresse IP où les données sont envoyées. Il se trouve que ce sont les mêmes personnes qui, au sein de Facebook, sont chargées du développement de ces apps…

Histoire de masquer son forfait, Facebook a utilisé plusieurs prête-noms pour diffuser cette application-espion : le réseau social est passé par des services de bêta-testing comme Applause, BetaBound et uTest afin de recruter des participants.

Sur uTest, une publicité pour une « étude de recherche sur les médias sociaux ». Un faux-nez pour Facebook Research. Les plus jeunes doivent obtenir l'autorisation de leurs parents avant de pouvoir participer.

Le réseau social a expliqué à TechCrunch que l’app Research respectait le programme de certification d’entreprise d’Apple. Or, dans les conditions d’utilisation de ce programme, il est clairement indiqué que l’entreprise a interdiction de distribuer des apps certifiées à des utilisateurs non employés sans supervision directe.

De l’exploitation monnayée des données d’enfants et d’adolescents à l’utilisation dévoyée du programme de certification d’entreprise d’Apple, tout accable Facebook dans cette histoire. Le réseau social n’en est pas à sa première tentative de blouser les utilisateurs afin de leur soutirer le maximum d’informations.

Quelques heures après la révélation de cette nouvelle filouterie, Facebook a décidé de lui-même d’en terminer avec ce programme et cette application… sur iOS uniquement. L’entreprise de Mark Zuckerberg continuera de pomper allègrement des données sur Android.

Voilà qui ne va pas améliorer les relations, déjà glaciales, entre Apple et Facebook. Mark Zuckerberg et Tim Cook se sont lancé des piques tout au long de l’année dernière concernant la question de la confidentialité des données et le respect de la vie privée. Le fondateur du réseau social a beau jurer ses grands dieux que les utilisateurs ont le contrôle sur les données qu’ils partagent avec l’entreprise (encore tout récemment dans une tribune parue dans Le Monde), la réalité lui donne régulièrement tort.

Apple n’a pas eu à révoquer le certificat d’entreprise utilisé indument par Facebook. Mais beaucoup se demandent désormais si le constructeur ne devrait pas tout simplement retirer le client Facebook de l’App Store, au vu des multiples infractions dont s’est rendu coupable son éditeur. Au vu des engagements pris par Apple pour défendre le droit à la vie privée, le débat mériterait d’être posé.

Mise à jour — Apple a en fait révoqué le certificat d’entreprise pour l’application Facebook Research, précise un porte-parole du constructeur à Recode. Facebook a bien enfreint la lettre et l’esprit du programme : « Tout développeur qui utilise les certificats d’entreprise pour distribuer des apps à des utilisateurs verra son certificat révoqué, ce que nous avons fait [dans le cas de Facebook] pour protéger nos utilisateurs et leurs données ».

avatar pagaupa | 

Quel bonheur que de ne pas avoir de compte sur cette merde de réseau!

avatar whocancatchme | 

@pagaupa

Tu n’as ni Instagram, ni whatsapp ??

avatar IphoneX | 

@whocancatchme

Moi je n'es jamais rien eu de tout ça heureusement d'ailleurs

avatar zoubi2 | 

@whocancatchme

Moi non plus...

Mais bon, j'avoue une faiblesse : J'ai WhatsApp

avatar oomu | 

je n'ai jamais eu de compte Instagram ni Whatsapp (ni Facebook).

Par contre j'ai eu un compte sur un serveur usenet. et bien sur j'ai un compte imap sur mon propre serveur privé. J'utilise Twitter, pour suivre des artistes. Et des opposants au fanasc..heu des gens de belle âme. Mais pas de facebook, d'instagram, de snapchat, etc. et encore moins de partage de mon activité.

Attendez une minute... Ho NON ! Je suis vieux et frappadingue !

avatar macfredx | 

Ni aucun de tous ces réseaux soi-disant sociaux de merde...

avatar bonnepoire | 

@ whocancatchme
Ce qui pose question c'est le fait que tu sois surpris. Je n'ai aucun compte sur aucun réseau social non plus.

avatar altifab2 | 

Idem, aucun compte. Je n'ai pas besoin d'étaler pas ma vie sur les réseaux sociaux.
Et j'arrive à être très heureux et à avoir pleins d'amis.
Mais ce n'est pas un exploit.

avatar moua | 

@pagaupa

Pas besoin d’avoir de compte dans ce cas précis.

Les utilisateurs étaient payés quelques $ pour tester des apps, jusque là rien d’anormal.

Que la totalité des donnés transitant par internet pour être siphonnés et analysés, à priori sans véritable consentement, et parfois auprès de mineurs, l’est moins.

Le tout sans afficher véritablement le nom du client (Facebook).

avatar Dazoudaz | 

@pagaupa

Pareil pour moi, plus de Facebook ou autres merdes depuis plus de deux ans et c’est franchement mieux ! Je n’ai manqué à personne et ma batterie dure bien plus longtemps. Mon réseau social n’a pas besoin d’application... je sais gérer tout ça comme un grand.

avatar pocpoc | 

@Dazoudaz

"Je n’ai manqué à personne et ma batterie dure bien plus longtemps. "

Pour ça, je ne passe plus par l’application iOS mais par Safari. Ça fait déjà un sacré’ gain !

avatar macfredx | 

Pour une fois, je suis entièrement d'accord avec toi ?

avatar letofzurichois | 

20$ par mois et les gens se jettent dedans ? Pas cher payé pour siphonner toutes les données !

avatar armandgz123 | 

@letofzurichois

Je l’aurais largement fait pour 20$ il y a quelques années...

avatar ForzaDesmo | 

@letofzurichois

«20$ par mois et les gens se jettent dedans ? Pas cher payé pour siphonner toutes les données !»
Et encore, j'ai entendu sur France Info que c'était même pas en numéraire mais en bon d'achat.

avatar MJohnson | 

Une info vient de paraitre comme quoi apple a révoquer le certificat en question et non pas facebook

avatar Rodri31 | 

Clairement, faudrait qu'Apple bloque temporairement ou définitivement les app qui font ça et MÊME si ça vient d'un grand groupe comme Facebook. Mais clairement ils le feront jamais...

avatar Vostorn | 

@Rodri31

Ils ne le feront jamais parce que les Facebookeux, nombreux, n'achèteraient pas un iPhone s'ils ne pouvaient pas aller sur Facebook avec.

avatar oomu | 

ben si, Apple le fait.

avatar huexley | 

nan ca c'est les gentils de chez Cisco

avatar Tenas | 

Supprimer Facebook de l’Apple store direct et on en parle plus, cette application se fou de notre gueule depuis longtemps et ça continue alors qu’ils disent qu’ils sont blanc comme neige, je dirais plutôt noir comme du charbon ouais.

avatar byte_order | 

> Supprimer Facebook de l’Apple store direct et on en parle plus

Et les ventes d'iPhones s'effondreront encore plus.

Y'a plus d'un milliard de gens qui utilisent régulièrement FaceBook. On peut le déplorer, mais si vous leur dite "cet iphone n'a pas d'app FaceBook, faudra utiliser la version Web", il n'est pas certains qu'aucun ne trouvera à redire de payer un iphone aussi cher pour ne pas pouvoir avoir le droit de faire ce que des smartphones concurrents permettent pour nettement moins cher.

Je suis pour responsabiliser le consommateur, pas pour le mettre sous tutelle.

Mais si Apple veut le faire en bannissant Facebook de sa plateforme en prenant le risque que le consommateur trop accro à Facebook aille voir ailleurs, cela la regarde, libre à elle de courir ce risque pour son CA.
Vu la situation, je doute fort qu'elle aille jusque là.

avatar Bigdidou | 

Être payé pour être siphonné, pourquoi pas ?

avatar zoubi2 | 

@Bigdidou

:-)

avatar cv21 | 

@bigdidou

Nous sommes surement plus nombreux à nous faire siphonner nos données gratuitement pour un usage commercial :-) Bon, là entre un contrat et un clic en quelques secondes pour gagner 20$, chacun a le choix.

Pas facile de fixer des "limites" entre données personnelles et données collectées pour améliorer l'utilisation, je crains que ce ne soit qu'un début.

Pour Facebook, j'ai du m'y mettre pour préserver une certaine "employabilité". Finalement, je prends le risque d'arrêter. Cette approche du service numérique ne me convient pas et il n'y a pas que Facebook mais aussi toutes les plateformes qui proposent de gagner des petites sommes en échange d'une tâche durant le temps libre... délaissant tout ce qui n'est pas rentable aux services publics. Peu importe, je trouve que le digital suit cette direction.

avatar Bigdidou | 

@cv21

« Finalement, je prends le risque d'arrêter. »

Oh, personnellement, je ne m’y suis jamais mis ;)
Mais j’estime que c’est pas à Apple de décider si je me fais siphonner ou pas, et comment.

avatar iG | 

Manquerait plus que Mark se présente aux présidentielles. Oh wait... ?

avatar MOLGAT | 

Hello. Idem ni facebook ni instagram ni whatsapp. Seulement Snapchat parmétré pour mes filles comme amies. Point barre !

avatar oomu | 

C'est ça qui est bien avec les enfants : ils sont manipulables facilement, ignorants qu'ils sont des affaires du Monde et on peut les payer en quelques caramels, peu au fait de leur propre valeur.

Que voilà des entrepreneurs innovants qui savent valoriser l'ignorance enfantine au lieu de s'en désoler. Des héros du Capital !

avatar armandgz123 | 

@oomu

Euh.. à n’importe quelle tranche d’âge il y aura toujours des gens pour dire « je m’en tape, je n’ai rien à cacher » et faire ça...

avatar oomu | 

oui mais là c'est la part des utilisateurs qui sont des enfants dont je cause. Vous admettrez que des enfants sont en position de faiblesse : ils ne peuvent pas savoir.

Tandis que l'adulte il fait ce qu'il veut, c'est son problème, il a les moyens de s'intéresser, on a pas à imposer notre propre moralité (et certainement PAS celle du Oomu !!) à des adultes.
L'adulte, informé et au fait du monde, il a le droit se dire "orf, rien à foutre, je signe !", il assumera.

Mais pas l'enfant qui ne sait pas à quoi on le fait consentir !

et puis $20.. non mais sérieux...

avatar armandgz123 | 

Après, oui, je suis totalement d’accord avec toi

avatar armandgz123 | 

@oomu

Euh.. à n’importe quelle tranche d’âge il y aura toujours des gens pour dire « je m’en tape, je n’ai rien à cacher » et faire ça...

avatar rikki finefleur | 

Perso je vois pas ou est le problème à partir du moment où les gens sont consentant.
En France on paye bien des gens depuis + de 30 ans pour savoir qu'elles chaines ils regardent via un boitier de télécommande fourni par la boite.

Apple n'aura jamais le courage de retirer facebook, ni google par ailleurs.. Des que les finances rentrent en jeu , le discours est a l'inverse chez la pomme.
Il est curieux de critiquer google et de se laisser sponsoriser par goog. Ha oui goog donne plein d'argent a la pomme...c'est vrai.. Un monde de requin et de double langage bien pourri chez les gafa.

avatar oomu | 

- le problème des 13+
- le fait que c'est un abus d'un mécanisme d'Apple qui n'est pas prévu pour permettre de passer outre les règles de l'App Store. Mais ça c'est la politique Apple avec ses partenaires industriels, on s'en fout un peu.

avatar fifounet | 

@rikki finefleur

"Perso je vois pas ou est le problème à partir du moment où les gens sont consentant."

Marrant ton double langage.
Ça te gêne plus quand Apple vends un truc qui te parait cher mais que l’acheteur est parfaitement consentant pour y mettre de prix

avatar Crunch Crunch | 

Si c'est de son plein gré et consenti, où est le problème ?

avatar Bigdidou | 

@Crunch Crunch

« Si c'est de son plein gré et consenti, où est le problème ? »

L’âge et la maturité au consentement.

avatar macinoe | 

c'est vrai que la même chose existe sans consentement et sans aucune rémunération. c'est le business model de Google.

avatar byte_order | 

@macinoe
> c'est vrai que la même chose existe sans consentement et sans aucune rémunération.
> c'est le business model de Google.

Sans aucune rémunération, oui.
Sans consentement, non.
Relisez les mots affichés lors de toute création d'un compte et nouvel accès à un service de Google. La consentement est clairement écrit en toute lettre, avec indication explicite qu'en cliquant sur le bouton "OK" ou "Suivant" ou que sais-je, l'utilisateur donne son consentement.

Après, reste à voir si le siphonnage ne concerne bien que les données personnelles de l'utilisateur ou celles d'autres personnes, comme c'est le cas en cas de siphonnage de *tout* le trafic avec le terminal de l'utilisateur qui, même s'il a consenti au siphonnage de *ses* données personnels ne peut donner son consentement au siphonnage des données personnelles d'autres personnes avec lesquels il communique.

avatar oomu | 

"Si c'est de son plein gré et consenti, où est le problème ?"

Un enfant ne peut pas consentir.

avatar byte_order | 

@oomu
L'enfant, non, mais ses parents, si.
Reste à voir si ce sont bien les parents qui ont donné ici le consentement.
Et à voir si la loi ne protège pas l'intérêt de l'enfant contre l'intérêt (financier, à priori) de ses parents dans ce cas précis.

avatar altifab2 | 

Internet était une si belle invention...si pure au début.
Idem pour les réseaux sociaux, un magnifique espace d'échange, d'expression et de rencontre basé sur "les amis de tes amis sont tes amis".
Et cela a été converti en "tes données et les données de tes amis m'intéressent pour vendre des fichiers et cibler la pub".
Ils rêvent de pouvoir lire dans nos pensées pour savoir ce qu'on a envie d'acheter.
Mais je ne vois pas l'interêt pour moi qu'ils m'envoient des pub pour une Ferrari ;-)

avatar Clément34000 | 

Comment veux tu protéger nos données si en plus le client s’y met lol

avatar byte_order | 

Les données sont le nouveau capital.
Normal que tout le monde veuille en tirer un profit.

avatar Clément34000 | 

@byte_order

Euhhh mais si tu es content d’avoir un téléphone fabriquée par une entreprise respectant les données... et que tu apprends qu’une autre troue le moyen de contourner le probléme sachant qu’elle n’est pas chez elle...

avatar mimot13 | 

On a beau avertir les utilisateurs sur les dangers potentiels de ce type de magouille sur les réseaux sociaux.. mais ils ont tous, apparemment en tout cas, la mémoire courte et ont leurs neurons congelés sans doute : il y en a qui auraient bien voulu avoir ce genre de données par le passé (sombre). C'est toujours vrai aujourd'hui d'ailleurs, même si pour l'instant ça ne sert qu'à la pub (Face de Bouc vit de la PUB, rien que de la pub !) et au big data. Demain ? Vous verrez, si ça fait mal vous le sentirez.
Apple n'est pas exempt de défauts c'est sûr, mais la société respecte quand même la vie privée.

CONNEXION UTILISATEUR