Facebook a communiqué sur les révélations du New York Times concernant les accès de Netflix ou Spotify à vos messages. Le fonctionnement des API est encore une fois en cause.

Le 18 décembre, le New York Times a publié une longue enquête sur les pratiques commerciales de Facebook — et notamment sur la capacité de réseau social à donner des accès privilégiés à certaines fonctionnalités à ses partenaires premium. Le tout, sans grande considération pour les risques liés aux données privées des utilisateurs. Car si le fait que « Netflix et Spotify peuvent avoir accès aux messages des utilisateurs  » peut engendrer des craintes légitimes, c’est en réalité la manière même dont fonctionnent ces partenariats qui est en cause.

Les API de la discorde

Dans un communiqué, Facebook a ainsi expliqué pourquoi certaines applications avaient des droits avancés sur la messagerie instantanée. Quand on lit que Netflix par exemple pouvait « lire, écrire et supprimer » des messages, il ne faut pas imaginer Reed Hastings en train d’envoyer des petits mots à votre place sur Facebook Messenger et supprimer les critiques à l’encontre du dernier sitcom produit. La question est bien plus technique que morale : pour que vous puissiez utiliser une application (ici, Facebook Messenger) sur un service qui n’est pas propriétaire de cette application, il faut que le développeur de l’application lui donne les droits suffisants pour que l’utilisateur puisse l’utiliser.

Envoyer un message Facebook depuis Spotify // Source : Facebook

Dans le cas de Facebook Messenger depuis Netflix ou Spotify, il faut évidemment que Netflix ou Spotify aient la possibilité de lire (comprendre : d’afficher les messages qu’on vous envoie), d’écrire (comprendre : d’envoyer des messages à vos amis quand vous appuyez sur entrée) et de supprimer (comprendre : de donner l’information que vous avez supprimé un message sur Facebook Messenger depuis Netflix et qu’il faut donc que le message soit aussi supprimé sur Facebook Messenger). C’est un fonctionnement tout à fait normal qui n’est ni limité à Facebook, ni à ses partenaires. Ni même aux réseaux sociaux : n’importe quel fichier sur un système d’exploitation a aussi des accès en lecture et en écriture qui lui permettent d’être utilisé par un nombre d’utilisateurs restreint, plusieurs utilisateurs ou des logiciels d’édition.

Ces principes fondamentaux rappelés, on remarque pourtant que c’est, scandale après scandale, le système basé sur les API qui est au cœur des questions des utilisateurs et des médias. Ces autorisations données par les plateformes à des tiers sont un système à double tranchant : d’un côté, cela vous permet de faire plus de choses avec des applications qui n’ont pas les mêmes propriétaires (écrire des messages Facebook depuis Netflix, vous connecter à Numerama avec votre compte Google…) d’un autre, cela crée une porosité entre deux services qui entraîne un risque. Ce risque peut d’ailleurs être individuel : si l’on vous pirate votre compte Netflix et que Messenger y est relié, alors le pirate pourra converser avec vos contacts Facebook.

La porosité des applications, un modèle à revoir ?

Un modèle de web plus conscient ?

Mais, et c’est tout le problème, ces risques peuvent amener des situations bien plus graves. C’est précisément ce qui s’est passé pendant l’affaire Cambridge Analytica, partie des autorisations trop larges laissées par Facebook à un développeur malicieux. Cela rappelle également que la manière dont cette agrégation de service a été conçue est aussi à conjuguer au passé. Il y a quelques années, on pouvait imaginer un Zuckerberg tout heureux d’ouvrir une boîte de Pandore pour la simple possibilité de laisser un utilisateur exporter ses playlists d’un service musical sur Facebook et ses contacts Facebook sur ce service.

En 2018, par un cadre légal mieux défini, des développeurs plus conscients des risques liés à leurs actes, des populations mieux instruites sur les questions du web et une presse qui a enfin commencé à montrer où les géants du web étaient allés bien trop loin, ce far west des premières heures semble s’éloigner petit à petit. Aujourd’hui, privacy by design, transparence et autres contrôles par l’utilisateur rendent heureusement le web plus sain. Ces tendances émergentes ne peuvent pas changer une culture d’entreprise en un jour, ni rattraper les énormes erreurs du passé, mais elles laissent entrevoir un mieux.

Crédit photo de la une : Photo Nelly Lesage pour Numerama

Partager sur les réseaux sociaux