Un internaute a voulu récupérer la totalité de ses données personnelles stockées sur Facebook. En analysant l'archive, il a noté que les métadonnées d'appel et de SMS avaient été récupérées par le réseau social. Ses constatations ont rapidement connu un fort écho mais il pourrait s'agir d'un simple problème de permission d'accès sur Android.

Le fait que Facebook collecte des informations sur ses membres et effectue dès qu’il en à l’occasion des croisements de données n’étonnera sans doute personne. Après tout, le réseau social américain s’est déjà fait épingler pour ce type de pratique, à l’image de la stratégie suivie avec WhatsApp. Le site communautaire vient toutefois de se retrouver dans une nouvelle polémique.

Tout est parti de Dylan McKay, un Néo-Zélandais. En pleine affaire Cambridge Analytica, il a voulu télécharger une copie des données personnelles le concernant conservées par Facebook — n’importe qui peut le faire depuis les paramètres généraux de son compte, à condition d’avoir un bon débit car l’archive peut s’avérer assez volumineuse si vous êtes sur le site depuis longtemps ou publiez beaucoup.

En parcourant son archive et au moyen d’un script, il a constaté qu’un certain nombre de métadonnées sur ses communications ont été collectées : son historique d’appels, dont les coups de fil passés en dehors de l’application mobile, son journal de SMS, alors qu’il a une autre messagerie par défaut, ainsi que la totalité de son répertoire, dont des contacts qui n’y figurent plus, le tout sur une période allant de novembre 2016 à juillet 2017.

Dans la section « Accès à vos données Facebook », l’entreprise américaine ne mentionne pas explicitement que ces éléments peuvent faire partie des données que le site recueille.

La firme dit pourtant que « les catégories de données que nous recevons, collectons et conservons évoluent au fil du temps » et qu’en conséquence, « cette liste sera mise à jour le cas échéant ». Elle ajoute « qu’il s’agit des catégories de Facebook qui sont disponibles dans votre historique personnel ou les données téléchargées, ou les deux ». Donc des catégories de données pour lesquelles l’usager est censé être au courant.

Faut-il y voir une stratégie délibérée du site communautaire ? Une chose est sûre, ses constatations ont rapidement connu un fort écho : sur Twitter, son message a été relayé plus de 15 000 fois et entraîné presque 20 000 réactions. Rien d’étonnant dans un contexte où l’image de Facebook est fortement dégradée par les révélations autour des pratiques de Cambridge Analytica.

La réalité est plus complexe. Comme l’ont souligné avec justesse nos confrères du site FrAndroid, le test qui a été effectué par Dylan McKay s’est déroulé sur une ancienne version d’Android, la version 5.1 du système d’exploitation mobile, très précisément. Or, il faut savoir que cette mouture, sortie le 9 mars 2015, n’est pas connue pour proposer une gestion très fine des permissions.

Ce n’est qu’avec la version 6.0 de l’O.S., lancée le 5 octobre 2015, que le mécanisme des permissions a été retravaillé en profondeur, de façon à laisser à l’usager le soin d’indiquer précisément pour chaque application ce qu’elle peut et ne pas faire, avec des autorisations temporaires (données au moment où le programme en a besoin) ou à durée indéterminée (mais qui peuvent être révoquées dans les réglages).

Selon les informations communiquées par Google concernant la répartition des versions d’Android, datées du 5 février 2018, les versions supérieures à Android 6.0 sont aujourd’hui majoritaires : 57,7 % des terminaux aperçus sur Google Play au cours des sept derniers jours avant la date de publication de ces statistiques fonctionnaient avec une version de l’O.S. moins laxiste sur les permissions.

Selon nos constatations, en procédant de la même manière que Dylan McKay, c’est-à-dire en récupérant une archive d’un compte Facebook existant depuis 2009, nous n’avons pas été en mesure de récupérer des informations de même nature. Et cela malgré le fait que le propriétaire du compte en question utilise Facebook sur mobile depuis 7-8 ans minimum à la fois sur iOS et Android (notamment depuis un Galaxy S et Android 2.2).

De son côté, Lucie Ronfaut, journaliste au Figaro, indique avoir fait le test avec deux  collègues utilisant l’application mobile sur Android. Les résultats divergent : pour l’un l’historique d’appels a été retrouvé mais pas pour l’autre. Elle précise que dans le premier cas, les appels n’étaient pas passés par Messenger mais par l’application normale du smartphone. Idem pour les SMS.

Pour sa part, Raphaël Grably‏, journaliste pour 01 Net, dit avoir appliqué le même test sur ses données issues de Facebook et il a trouvé un historique d’appels et de SMS. Il précise qu’au sujet des données repérées dans son archive, il pense qu’il utilisait vraisemblablement un mobile sous Lollipop à l’époque. Lollipop est justement le nom de code d’Android 5.1, celle qui semble poser problème.

Raphaël Grably relève dans son article qu’aucun des membres de la rédaction utilisant un iPhone n’a vu ses appels et SMS enregistrés. Dans son test, il a pu remarquer la présence de métadonnées sur ses appels et ses SMS, avec le numéro du correspondant, la date et l’heure d’envoi et de réception pour les SMS, ainsi que la date, l’heure et la durée en secondes des différents coups de fil. Ces informations concernaient les quatre premiers mois de l’année 2016.

Notre confrère fait remarquer qu’il a « effectivement utilisé la fonction de messagerie instantanée pour la gestion de nos SMS durant quelques semaines. Sauf que celle-ci est proposée depuis juin 2016, soit plusieurs semaines après l’arrêt de l’enregistrement ». Il semble donc que ce problème concerne les personnes dont le smartphone a transité à un moment ou à un autre par la version 5.1 d’Android.

Dans notre cas, lorsque nous avons lancé le script, nous n’avons en effet rien trouvé au niveau des historiques d’appel, de SMS et de MMS. Par contre, nous avons relevé que les coordonnées de téléphone d’une cinquantaine de contacts avaient été happés par le site communautaire. Ces contacts se trouvaient sur la carte SIM intégrée à un smartphone Samsung resté sous Android 5.1. Mais nous ne pouvons pas certifier qu’une demande autorisation d’accès s’est manifestée à l’époque.

Il convient de souligner que les constations peuvent éventuellement varier d’une archive à l’autre. Ainsi, il est possible de trouver, outre des données qui peuvent remonter plusieurs années en arrière, des métadonnées beaucoup plus récentes peuvent aussi être dénichées, si jamais des permissions ont été accordées à Facebook, même avec un smartphone récent et une version à jour d’Android.

La portée du problème reste à déterminer. Au plus fort de son succès, Android Lollipop a été utilisé par des millions de personnes dans le monde et il est certain qu’une très grande majorité d’entre elles passe régulièrement par la version mobile de Facebook pour se tenir au courant de l’actualité de sa liste de contacts. Lollipop est encore massivement utilisé : sa part de marché début février s’élevait à 19,2 %.

Et pour les personnes étant actuellement sur une version Android 6.0 ou plus, combien étaient-elles il y a encore quelques mois à utiliser une branche précédente du système d’exploitation ? Sans doute beaucoup.

Partager sur les réseaux sociaux