Un internaute a voulu récupérer la totalité de ses données personnelles stockées sur Facebook. En analysant l'archive, il a noté que les métadonnées d'appel et de SMS avaient été récupérées par le réseau social. Ses constatations ont rapidement connu un fort écho mais il pourrait s'agir d'un simple problème de permission d'accès sur Android.
Le fait que Facebook collecte des informations sur ses membres et effectue dès qu’il en à l’occasion des croisements de données n’étonnera sans doute personne. Après tout, le réseau social américain s’est déjà fait épingler pour ce type de pratique, à l’image de la stratégie suivie avec WhatsApp. Le site communautaire vient toutefois de se retrouver dans une nouvelle polémique.
Tout est parti de Dylan McKay, un Néo-Zélandais. En pleine affaire Cambridge Analytica, il a voulu télécharger une copie des données personnelles le concernant conservées par Facebook — n’importe qui peut le faire depuis les paramètres généraux de son compte, à condition d’avoir un bon débit car l’archive peut s’avérer assez volumineuse si vous êtes sur le site depuis longtemps ou publiez beaucoup.
Downloaded my facebook data as a ZIP file
Somehow it has my entire call history with my partner's mum pic.twitter.com/CIRUguf4vD
— Dylan McKay (@dylanmckaynz) March 21, 2018
En parcourant son archive et au moyen d’un script, il a constaté qu’un certain nombre de métadonnées sur ses communications ont été collectées : son historique d’appels, dont les coups de fil passés en dehors de l’application mobile, son journal de SMS, alors qu’il a une autre messagerie par défaut, ainsi que la totalité de son répertoire, dont des contacts qui n’y figurent plus, le tout sur une période allant de novembre 2016 à juillet 2017.
a historical record of every single contact on my phone, including ones I no longer have pic.twitter.com/XfiRX6qgHl
— Dylan McKay (@dylanmckaynz) March 21, 2018
Dans la section « Accès à vos données Facebook », l’entreprise américaine ne mentionne pas explicitement que ces éléments peuvent faire partie des données que le site recueille.
La firme dit pourtant que « les catégories de données que nous recevons, collectons et conservons évoluent au fil du temps » et qu’en conséquence, « cette liste sera mise à jour le cas échéant ». Elle ajoute « qu’il s’agit des catégories de Facebook qui sont disponibles dans votre historique personnel ou les données téléchargées, ou les deux ». Donc des catégories de données pour lesquelles l’usager est censé être au courant.
and the metadata of every cellular call I've ever made, including time and duration 😬😬 pic.twitter.com/Ykr3o0gZFu
— Dylan McKay (@dylanmckaynz) March 21, 2018
Faut-il y voir une stratégie délibérée du site communautaire ? Une chose est sûre, ses constatations ont rapidement connu un fort écho : sur Twitter, son message a été relayé plus de 15 000 fois et entraîné presque 20 000 réactions. Rien d’étonnant dans un contexte où l’image de Facebook est fortement dégradée par les révélations autour des pratiques de Cambridge Analytica.
La réalité est plus complexe. Comme l’ont souligné avec justesse nos confrères du site FrAndroid, le test qui a été effectué par Dylan McKay s’est déroulé sur une ancienne version d’Android, la version 5.1 du système d’exploitation mobile, très précisément. Or, il faut savoir que cette mouture, sortie le 9 mars 2015, n’est pas connue pour proposer une gestion très fine des permissions.
Android 5.1
— Dylan McKay (@dylanmckaynz) March 22, 2018
Ce n’est qu’avec la version 6.0 de l’O.S., lancée le 5 octobre 2015, que le mécanisme des permissions a été retravaillé en profondeur, de façon à laisser à l’usager le soin d’indiquer précisément pour chaque application ce qu’elle peut et ne pas faire, avec des autorisations temporaires (données au moment où le programme en a besoin) ou à durée indéterminée (mais qui peuvent être révoquées dans les réglages).
Depuis 6.0, TOUTES les autorisations sont désactivées par défaut et n'apparaissent que lors de la 1ere utilisation de l'autorisation en question
— Manu (@Nobunagashi) March 23, 2018
Selon les informations communiquées par Google concernant la répartition des versions d’Android, datées du 5 février 2018, les versions supérieures à Android 6.0 sont aujourd’hui majoritaires : 57,7 % des terminaux aperçus sur Google Play au cours des sept derniers jours avant la date de publication de ces statistiques fonctionnaient avec une version de l’O.S. moins laxiste sur les permissions.
Selon nos constatations, en procédant de la même manière que Dylan McKay, c’est-à-dire en récupérant une archive d’un compte Facebook existant depuis 2009, nous n’avons pas été en mesure de récupérer des informations de même nature. Et cela malgré le fait que le propriétaire du compte en question utilise Facebook sur mobile depuis 7-8 ans minimum à la fois sur iOS et Android (notamment depuis un Galaxy S et Android 2.2).
De son côté, Lucie Ronfaut, journaliste au Figaro, indique avoir fait le test avec deux collègues utilisant l’application mobile sur Android. Les résultats divergent : pour l’un l’historique d’appels a été retrouvé mais pas pour l’autre. Elle précise que dans le premier cas, les appels n’étaient pas passés par Messenger mais par l’application normale du smartphone. Idem pour les SMS.
Mon collègue sous Marshmallow a aucune trace de sa liste d'appels. Par contre ma collègue qui a fait le switch iOS (je sais plus combien) => Android 5, oui. Certaines données correspondent à des dates où elle utilisait un iPhone 🤔
— Lucie Ronfaut (@LucieRonfaut) March 23, 2018
Pour sa part, Raphaël Grably, journaliste pour 01 Net, dit avoir appliqué le même test sur ses données issues de Facebook et il a trouvé un historique d’appels et de SMS. Il précise qu’au sujet des données repérées dans son archive, il pense qu’il utilisait vraisemblablement un mobile sous Lollipop à l’époque. Lollipop est justement le nom de code d’Android 5.1, celle qui semble poser problème.
Raphaël Grably relève dans son article qu’aucun des membres de la rédaction utilisant un iPhone n’a vu ses appels et SMS enregistrés. Dans son test, il a pu remarquer la présence de métadonnées sur ses appels et ses SMS, avec le numéro du correspondant, la date et l’heure d’envoi et de réception pour les SMS, ainsi que la date, l’heure et la durée en secondes des différents coups de fil. Ces informations concernaient les quatre premiers mois de l’année 2016.
Notre confrère fait remarquer qu’il a « effectivement utilisé la fonction de messagerie instantanée pour la gestion de nos SMS durant quelques semaines. Sauf que celle-ci est proposée depuis juin 2016, soit plusieurs semaines après l’arrêt de l’enregistrement ». Il semble donc que ce problème concerne les personnes dont le smartphone a transité à un moment ou à un autre par la version 5.1 d’Android.
Dans notre cas, lorsque nous avons lancé le script, nous n’avons en effet rien trouvé au niveau des historiques d’appel, de SMS et de MMS. Par contre, nous avons relevé que les coordonnées de téléphone d’une cinquantaine de contacts avaient été happés par le site communautaire. Ces contacts se trouvaient sur la carte SIM intégrée à un smartphone Samsung resté sous Android 5.1. Mais nous ne pouvons pas certifier qu’une demande autorisation d’accès s’est manifestée à l’époque.
Il convient de souligner que les constations peuvent éventuellement varier d’une archive à l’autre. Ainsi, il est possible de trouver, outre des données qui peuvent remonter plusieurs années en arrière, des métadonnées beaucoup plus récentes peuvent aussi être dénichées, si jamais des permissions ont été accordées à Facebook, même avec un smartphone récent et une version à jour d’Android.
42 % du parc Android c'est pas rien, et que ça soit la faute de Google ou de Facebook, n'empêche pour ces utilisateurs l'historique d'appels et d'envoi de SMS a effectivement été enregistré par défaut.
— Lucie Ronfaut (@LucieRonfaut) March 23, 2018
La portée du problème reste à déterminer. Au plus fort de son succès, Android Lollipop a été utilisé par des millions de personnes dans le monde et il est certain qu’une très grande majorité d’entre elles passe régulièrement par la version mobile de Facebook pour se tenir au courant de l’actualité de sa liste de contacts. Lollipop est encore massivement utilisé : sa part de marché début février s’élevait à 19,2 %.
Et pour les personnes étant actuellement sur une version Android 6.0 ou plus, combien étaient-elles il y a encore quelques mois à utiliser une branche précédente du système d’exploitation ? Sans doute beaucoup.
Who's who
Partager sur les réseaux sociaux
La suite en vidéo