C’est bon de la savoir… mais ce n’est pas nouveau. En 1990, les admins de l’Université de Cornell se baladaient déjà avec un T-Shirt « I read your mail »… si on a accès aux bases de données, on peut faire ce que l’on veut.

Ce qui serait curieux de voir ce que vaudrait une « preuve par Facebook » devant la justice. Parce que n’importe quel admin pourrait envoyer un message de la part d’un utilisateur qui provoquerait une panique boursière, ou bien poster une photo pedo-nazo sur le profil de quelqu’un…  est-ce que Facebook a un garde-fou contre les admins. Pour parler comme les pages roses du Larousse : Quis Custodiet Ipsos Custodes? – qui surveille les surveillants ?

La possibilité pour un admin véreux de « spoofer » un compte d’utilisateur Facebook ouvre la porte à une infinité de variations manipulatoires…

[ Benjamin Sonntag – 12/01/2010]

Facebook & vie privée, alerte générale !

Alors comme ça vous avez un profil facebook, vous l’avez tout bien fermé pour que seuls vos amis puissent accéder à vos photos de vacances, état d’esprit, groupes, que vous pouvez ainsi partager en toute confiance ? …

Confiance vous avez dit ?

Mauvaise nouvelle :

À lire pour les anglophones : http://therumpus.net/2010/01/conver…

Donc, sur le site The Rumpus, blog collectif littéraire américain de bonne facture (que je classerais, pour le comparer à quelque francophones, entre Cultural Gang-Bang et The Stalker), ce 11 janvier, un article a été publié, qui risque bien de faire beaucoup de bruit : les révélations d’un employé de Facebook vont probablement (c’est tout le mal qu’on peut leur souhaiter) enfin faire comprendre à ses utilisateurs et fan de ce réseau social ce qu’il en est de la vie privée !

The Rumpus nous fait la joie d’interviewer un (une ?) employé de Facebook, apparemment une de leurs amies.

« Though forthcoming, my friend was anxious to preserve her anonymity ; Facebook employees, after all, know better than most the value of privacy »

« Prudente, mon amie a souhaitée vivement conserver son anonymat ; les salariés de Facebook sont, somme toute, plus au courant que quiconque de la valeur de la vie privée. »

Facebook conserve tout

Que nous apprend donc cette interview ? Tout d’abord que Facebook conserve tout, y compris les choses que l’on efface, dresse des profils très détaillés de ce que vous faites (toute interaction avec un autre membre est enregistrée et comptabilise dans le fait que cette autre personne vous est plus ou moins proche etc.)

Ensuite, on y apprend de nombreux détails techniques intéressants (sur le nombre de serveurs, leurs emplacement, leur contenu, le fait que chaque image soit stockée dans 6 tailles différentes etc.) mais cela ne nous intéresse pas particulièrement ici …

Un mot de passe universel

Ensuite, on apprend qu’un mot de passe universel, du genre « Ch !_ !ck |\|0Rr1s » permettait, depuis les bureaux de Facebook, aux ingénieurs de Facebook, (mais aussi à tout employé qui savait où chercher ce mot de passe …) d’accéder à n’importe quel profil à tout instant, et à toutes les données le composant.

Cela aurait provoqué le licenciement de 2 personnes ayant abusé de cette possibilité…

Désormais remplacé par un système avec archivage…

Désormais, ce mot de passe universel a été remplacé par un système qui permet à tout ingénieur de chez Facebook de « devenir » un utilisateur, donc de se connecter à son profile. Mais pour cela, il doit saisir une justification.

Ces justifications sont lues et encadrées par Chris Kelly, le chef de la vie privée à Facebook, en liaison direct avec le parquet de Californie … Cela peut sembler rassurant …

Mais bon… les bases de données sont là…

Cela dit, l’employée nous rappelle quelque chose de très important : les bases de données situées derrière tout cela sont belles et bien accessibles à de nombreux ingénieurs sans aucun contrôle : tout message, toute trace de message effacé mais conservé par Facebook, tous les messages privés échangés entre utilisateurs… Tout cela leur est accessible en quelques clics.

« Rumpus : So the master password is basically irrelevant.
Employee : Yeah.
Rumpus : It’s just for style. »

« Rumpus : Are your managers really on your ass about it every time you log in as someone else ?
Employee : No, but if it comes up, you’d better be able to justify it. Or you will be fired. »

Rumpus : Donc le mot de passe magique, en gros il ne sert à rien ?
L’employée : Mouaip.
Rumpus : C’est classe !
Rumpus : Et vos responsables sont toujours sur votre dos dès que vous vous connectez sur le compte de quelqu’un d’autre ?
L’employée : Non, mais si cela arrive, vous avez intérêt à avoir une bonne raison, sinon vous êtes viré.

Rassurant non ? ;)

Rien de nouveau…

Cela dit, si on creuse un peu, tout cela reste évident, et rien de nouveau sous le soleil, si vous me connaissez un peu, vous savez bien que je passe mon temps à vous expliquer que tout ce que vous dites sur Internet devrait être considéré comme public ;)

Enfin, je vous propose 2 petits liens pour terminer ces considérations de base sur la vie privée :

- Le jeune créateur de Facebook, Mark Zuckerberg, expliqua récemment que Facebook étant avant tout un lieu pour s’exposer, « divulguer toutes ses infos devrait être la norme ». Le ton est donné.

- Dans la même veine, Jean-Marc Manach, aka Bugbrother, sur son blog du monde.fr, nous a concocté récemment un article de belle plume, « Les petits cons parlent aux vieux cons«  qui lève le voile de la relation entre les principes de vie privée et la nouvelle génération d’internautes … Intriguant, intéressant, bien écrit, une lecture vivement conseillée ;)

http://benjamin.sonntag.fr/Facebook-vie-privee-alerte-generale