Le scandale Cambridge Analytica qui a touché Facebook récemment a remis au centre des préoccupations la sécurité des données personnelles en ligne –pour peu qu'elles aient jamais quitté le débat.
Alors que les réseaux sociaux, les applications ou les seuls smartphones s'intègrent de plus en plus aux différentes actions qui rythment notre quotidien, le Wall Street Journal s'est posé la question de savoir quelles données pourraient être mises en jeu lors d'une soirée pizza quelconque entre amis. Si la démonstration force le trait d'une organisation hyper connectée, elle demeure révélatrice des nombreuses fuites dont est victime jour après jour notre vie privée sans que nous y songions outre mesure.
Code carte bleue
Cela commence donc par quelques textos échangés sur Apple iMessage entre les deux personnes test, «Sally» et «Kristen». Il y est question d'une soirée où elles mangeraient des pizzas devant un film: les messages sont cryptés, donc illisibles en tant que tels, mais les métadonnées elles, telles que les horodatages, sont récupérées par Apple. Anonymes certes, mais collectées et analysées, notamment pour estimer la bande passante nécessaire sur les serveurs à l'avenir.
L'expérience continue, avec Kristen qui se tourne vers son enceinte Amazon Echo (ce qui ne relève certes pas de l'organisation type d'une soirée pizza, mais admettons) pour demander à Alexa, l'assistant personnel intelligent développé par Amazon, d'ouvrir l'application Domino (une franchise de pizzas bon marché) et de passer une commande.
Alors que Kristen fournit ainsi à Alexa les données caractéristiques de sa voix et le contenu d'une demande, Alexa récupère l'historique de ses interactions, le type de produit Echo utilisé, sa localisation, et les quatre derniers chiffres de sa carte de crédit pour lesquels elle lui demande confirmation: «Voulez-vous utiliser votre carte Visa se terminant par 1234*?» Les informations précédemment enregistrées sont donc réutilisées pour finaliser la commande.
De son côté, Domino récupère une transcription de ce qui a été demandé, ainsi que les données concernant le système d'exploitation, les paramètres du hardware et des statistiques de performance.
Localiser, identifier
Pour rejoindre Kristen, Sally prend sa voiture et utilise Google Maps pour la guider jusqu'à la bonne adresse. L'application utilise les capteurs de son iPhone pour lui fournir une localisation GPS en temps réel, se servant de l'accéléromètre pour évaluer sa vitesse et du gyroscope pour sa direction. Toujours anonymes, ces données sont toutefois recueillies par Google, de même que celles des conducteurs à proximité, en vue de détecter d'éventuels problèmes de trafic qui lui seraient alors notifiés. Son type de téléphone ainsi que son adresse IP sont également enregistrées.
Les voilà enfin réunies: la collecte des données ne cesse pas pour autant. Pour peu qu'elles décident de prendre une photo pour immortaliser ce moment et de la poster sur Facebook, le système de reconnaissance faciale du réseau social leur proposera de s'identifier respectivement. Facebook peut égaler récupérer la localisation des deux amies à partir de l'adresse IP utilisée pour télécharger la photo sur sa plateforme. Cela lui permettra de leur suggérer par la suite des événements locaux «qui pourraient l'intéresser», ainsi que des annonces ciblées.
De façon annexe, Facebook récupère le niveau de batterie de son téléphone, la force de son signal, son signal Bluetooth, sa vitesse de connexion, sa place de stockage de données, la version de son application, son fournisseur mobile, les informations de son mobile, son fuseau horaire, la date, le temps passé sur l'application, où quand comment...
À LIRE AUSSI Nos données personnelles ne sont jamais anodines
Vient le moment du film: sur sa télé Apple, Kristen cherche Wonder Woman et achète le film avec sa carte de crédit. Cela permettra à Apple de lui proposer des films associés comme Batman v Superman: L'Aube de la Justice, pour peu qu'elle n'ait pas désactivé l'option par défaut de recommandations personnalisées. Les informations de sa bande passante internet sont également récupérées par Apple, histoire de s'assurer que le film se télécharge à la bonne vitesse.
Les «données pratiques», une mine d'or pour les entreprises
Depuis le début de la soirée s'ajoutent ainsi les unes aux autres des informations «pratiques» qui ouvrent sur autant d'informations annexes récupérées par les différents programmes numériques utilisés, au prétexte de «favoriser l'expérience utilisateur». En tout, 53 informations différentes ont été enregistrées: 15 données par Sally et Kristen (28%), 38 collectées par les compagnies (72%), relativement à leur politique sur la protection de la vie privée et les conditions qui l'entourent.
Et c'est bien ces conditions que ne lisent jamais les utilisateurs. Le Wall Street Journal a comptabilisé un total de 76.069 mots pour les chartes d'Apple, Amazon, Google, Facebook et Domino: «Avec une vitesse de lecture d'environ 250 mots par minute, cela prendrait plus de cinq heures à quelqu'un de lire toutes les politiques impliquées dans le scénario de Sally et Kristen». Évidemment, personne n'a le temps ou l'envie de s'ennuyer à faire ça:
«Les utilisateurs ont perdu de vue ce qu'ils abandonnent et cela n'est pas de leur faute», constate Gennie Gebhart, chercheur à l'Electronic Frontier Foundation, un groupe de défense des libertés numériques.
Mais en attendant, l'organisation mise en place autour d'une simple pizza en a dit bien plus sur vos goûts que la garniture de la pâte.
