Le PDG de Cambridge Analytica, Alexander Nix, prend la parole lors du Sommet Concordia, à New York, en septembre 2016. / BRYAN BEDDER / AFP

Depuis quelques jours, Facebook fait face à l’une des pires crises de son histoire : une entreprise proche de Donald Trump est accusée d’avoir siphonné les données personnelles de dizaines de millions d’utilisateurs de Facebook. Il ne s’agit pas de n’importe quelle entreprise : Cambridge Analytica a participé à la campagne présidentielle victorieuse de Donald Trump.

Nos journalistes spécialisés sur les questions numériques, Martin Untersinger et Michaël Szadkowski, ont répondu aux questions des internautes lors d’un tchat.

Tod : Quel est le rebondissement dans l’affaire ? Il me semble qu’un article assez complet était déjà paru il y a deux-trois ans ?

M. U. : C’est tout à fait exact. Comme nous l’avons évoqué, la plupart des faits étaient déjà connus par le biais d’articles dans le Guardian et The Intercept. La différence aujourd’hui, c’est sans doute que le quotidien britannique a convaincu un ancien sous-traitant de Cambridge Analytica de parler à visage découvert. Ce dernier a également fourni des documents permettant de compléter certains détails manquants.

Mat : Comment est-il techniquement possible qu’une société privée puisse recueillir sans le consentement du réseau social (donc de Facebook lui même) les informations personnelles de millions d’usagers ? Est-ce un hack [piratage] ?
Olivier : Peut-on considérer Facebook plutôt complice ou victime de ce piratage massif de données ?

M. U. : Pour récupérer les données, le sous-traitant de Cambridge Analytica a créé une application sur Facebook. Il s’agit d’un petit programme informatique, qui peut par exemple fonctionner au sein du réseau social ou permettre de se connecter à un site tiers via son compte Facebook.

Cette application, en l’occurrence un quiz appelé « Thisisyourdigitalife », comportait de nombreuses questions, notamment politiques. Le sous-traitant de Cambridge Analytica, Global Science Research (GSR), a payé un peu plus de 250 000 personnes à raison de quelques dollars chacune, via la plate-forme Amazon Turk, pour répondre à ce questionnaire et se connecter à son application.

A l’époque, Facebook autorisait les développeurs d’application (ici GSR) à aspirer les données des amis de ceux qui se connectaient à l’application (ici « Thisisyourdigitallife »), notamment les mentions « J’aime ».

Depuis, Facebook a restreint cette possibilité, mais à l’époque rien n’a été piraté, aucune faille n’a été exploitée, GSR a simplement tiré parti du fonctionnement normal de Facebook. Ce n’est qu’en partageant ces données avec Cambridge Analytica que GSR s’est mis en porte-à-faux par rapport aux règles internes de Facebook (sans parler des diverses lois sur la vie privée).

Par ailleurs, Facebook a introduit de nouvelles fonctionnalités permettant aux utilisateurs de choisir manuellement quelles informations ils souhaitent partager avec une application tierce : vous pouvez les configurer dans vos paramètres de comptes Facebook, à cette adresse.

Cherry : Quelles informations personnelles ont pû être récupérées chez les contacts d’un utilisateur ayant rempli le questionnaire ? Seulement les « likes »… ou plus ?

M. S. : Selon les informations publiées par le New York Times et le Guardian, l’application de quiz développée par Aleksander Kogan a été utilisée par quelques centaines de milliers de personnes. Cela a permis de récupérer, par ce biais, les données de millions d’autres utilisateurs Facebook, qui étaient leurs amis Facebook à l’époque.

Parmi ces données potentiellement collectées, et ensuite transmises à Cambridge Analytica :

• leurs « J’aime » Facebook (par exemple : les pages aimées, mais aussi, les « J’aime » postés sous un post Facebook ou des pages Web incluant un bouton « J’aime » Facebook) ;
• leur identité Facebook (potentiellement : leur nom de profil, âge, ville, profession… si ces informations étaient accessibles) ;
• leurs réseaux d’amis et de contacts Facebook.

Autant d’informations précises très utiles pour construire ensuite une campagne de diffusion de messages électoraux et publicitaires sur Facebook. Savoir ce qu’un profil Facebook « aime » sur le réseau social permet par exemple de déduire un nombre important d’éléments sur l’identité de la personne (son genre, ses intérêts, ses réactions à des événements politiques…). Je vous conseille de lire cet article du Guardian sur le sujet.

Raphaël : Et du côté de Facebook, il n’y a aucune réaction ?

M. S. : Les réactions officielles de Facebook sont plutôt maigres depuis vendredi 16 mars. Quelques heures avant publication de l’enquête du Guardian et du New York Times, Facebook a publié un communiqué pour expliquer qu’elle suspendait les accès de Cambridge Analytica à la plate-forme Facebook. Dans ce texte, signé par Paul Grewal, le vice-président et directeur juridique adjoint de Facebook, on peut lire :

« En 2015, nous avions appris qu’Aleksandr Kogan nous avait menti et avait violé la politique de la plate-forme en transmettant les données récupérées sur une application utilisant une interface de connexion de Facebook à SCL/Cambridge Analytica. Il y a plusieurs jours, nous avons reçu des informations selon lesquelles, contrairement aux promesses qui nous avaient été faites, toutes les données n’ont pas été détruites. Nous agissons vigoureusement pour déterminer la véracité de ces informations. Si elles sont exactes, il s’agirait d’une nouvelle violation inacceptable de la confiance et des engagements qui ont été pris. »

Depuis, il n’y a aucune autre réaction de la part des dirigeants de Facebook, à commencer par Mark Zuckerberg et Sheryl Sandberg, ceci alors que l’action de Facebook a plongé à Wall Street.

Cependant, plusieurs cadres de Facebook ont commenté l’affaire sur leurs comptes Twitter et pages Facebook personnelles, surtout pour expliquer qu’il ne s’agissait pas d’un data breach (piratage de données) mais « seulement » d’une utilisation anormale des données d’utilisateurs Facebook.

Ces réactions sont venues notamment d’Alex Stamos (chef de la sécurité de Facebook) et d’Andrew Bosworth (ancien vice-président responsable des publicités). Ce dernier a publié un long post Facebook hier, pour résumer ses réactions, dans lequel il admet : « Yes, this is bad ».

Antoine : Peut-on se permettre de douter des conséquences que cette affaire aura pour Facebook ?

M. U. : On peut penser que Facebook va sortir indemne de cette affaire. Cependant, elle intervient dans un contexte très particulier. Aux Etats-Unis, le réseau social est déjà accusé de ne pas avoir pris assez au sérieux les tentatives d’ingérences russes dans l’élection présidentielle de 2016, et on lui reproche plus largement de participer à la diffusion de fausses informations, de faciliter la diffusion de contenus problématiques (racisme, antisémitisme, terrorisme…). La pression politique était déjà intense, et cette affaire n’arrange rien.

Sam : Les annonceurs adorent Facebook et de plus en plus malgré le buzz depuis deux ans. Donc Facebook n’a rien à craindre ?

M. U. : Facebook est devenu un mastodonte publicitaire parce qu’il offre des possibilités de ciblage sans équivalent grâce à toutes les données personnelles dont il dispose. Mais c’est aussi, justement, cette abondance de données personnelles et ce modèle économique qui, au fond, fait débat ici. Il est cependant très peu probable, et c’est un euphémisme, que Facebook revienne un jour sur ce qui a fait son succès.

Kingnothing : On a appris hier qu’Alex Stamos, le responsable de la sécurité de Facebook, quittait l’entreprise… Sait-on si c’est lié ?

M. U. : Selon le New York Times, le chef de la sécurité de Facebook, Alex Stamos, est effectivement sur le départ. Si l’on s’en tient aux informations du quotidien américain, ce départ n’est pas directement lié à la polémique en cours, puisque les procédures liées à son départ ont commencé en décembre 2017.

Les raisons qui motivent son départ sont cependant intéressantes. Selon le New York Times, il a eu des désaccords profonds sur la manière de gérer la désinformation et la propagande russe sur Facebook.

Sur Twitter, le principal intéressé a expliqué qu’il était encore à son poste, mais n’a pas démenti l’information selon laquelle son équipe aurait été redistribuée dans d’autres services de l’entreprise, ni qu’il devrait quitter l’entreprise en août.

Mathieu : Cela fait très « théorie du complot », mais y aurait-il un lien entre l’ingérence russe dans la campagne et cette affaire ?

M. U. : A ce stade non, mais c’est une excellente question. Rappelons déjà que les services de renseignement et la justice américaine affirment que la Russie a piloté une opération d’ingérence pour tenter de peser sur l’élection présidentielle américaine.

De multiples enquêtes, judiciaires et parlementaires, sont en cours à ce sujet aux Etats-Unis. Elles portent, d’une part, sur la propagande sur les réseaux sociaux. Tout récemment, le procureur spécial Robert Mueller a inculpé 13 Russes, accusés d’avoir utilisé Facebook pour diffuser de la propagande, notamment en faveur de Donald Trump. D’autre part et plus largement, Robert Mueller enquête sur les soupçons de collusion entre l’équipe de campagne de Trump et la Russie.

Ce sujet est très sensible aux Etats-Unis, et certains – essentiellement des politiques à vrai dire – craignent que les données récoltées par Cambridge Analytica aient pu servir à nourrir la propagande pilotée par la Russie, d’autant qu’elle a participé à la campagne victorieuse de Trump et qu’elle s’est vantée d’avoir participé à la campagne victorieuse du Brexit.

Mais à ce stade aucun lien direct n’a été ni avancé ni prouvé. Le Guardian avance cependant des liens entre le chercheur à l’origine du siphonnage de données et la Russie, notamment car il était professeur à l’université de Saint-Pétersbourg et qu’il a reçu des financements gouvernementaux.

Plus fondamentalement, cette fuite de données pose en fait la question de la sincérité de l’élection et d’éventuelles manipulations sur les réseaux sociaux. A noter que Cambridge Analytica nie avoir utilisé les données récoltées sur Facebook lors de la campagne de Trump.