«Nous avons la responsabilité de protéger vos données; si nous manquons à ce devoir, nous ne méritons pas de vous servir.» C’est ce que Mark Zuckerberg écrivait dans un post Facebook daté du 21 mars, au plus fort de la colère soulevée par le scandale Cambridge Analytica. Cette société de conseil britannique avait utilisé les données personnelles (mal acquises) d’utilisateurs et d'utilisatrices Facebook dans le cadre de diverses campagnes politiques –y compris, peut-être, celle de Donald Trump.
Vendredi 28 septembre, Facebook a annoncé avoir été affecté par une faille de sécurité de grande ampleur, sans doute la plus grave de son histoire. Les hackers ont combiné trois défauts dans le code pour prendre le contrôle d’au moins cinquante millions de comptes. En théorie, les pirates pouvaient utiliser ces comptes à leur guise: poster des mises à jour de statut, télécharger les photos des internautes, envoyer des messages à leurs proches, télécharger leurs photos privées, et bien d’autres utilisations frauduleuses.
Le même jour, le réseau social a confirmé que la faille avait également permis aux hackers d’accéder à d’autres comptes des utilisateurs et utilisatrices concernées sur des applications ou des sites internet tiers utilisant les identifiants Facebook comme mode de connection.
Aveu d'impuissance
Des responsables de Facebook ont répondu aux questions des journalistes vendredi après-midi. Ils ont déclaré avoir eu vent du piratage le mardi 25 septembre, en avoir informé les autorités le lendemain, et avoir achevé de réparer les bugs dans la nuit de jeudi. Facebook affirme toutefois ne pas connaître l’identité des hackers ou le but recherché par l'attaque, et ignorer comment les informations potentiellement volées pourraient être utilisées.
Nous en saurons plus sur l’étendue de la faille et la nature des dégâts au fil des jours et des semaines à venir. Le réseau social enquête sans doute avec urgence et en toute sincérité. Contrairement à certaines des entreprises victimes d’importantes fuites de données ces dernières années, Facebook a la réputation de prendre au sérieux la sécurité des informations. Le fait même qu’il n’ait pas subi davantage de failles de ce genre –du moins à notre connaissance– malgré son statut de proie idéale illustre l’étendue de ses efforts.
Mais cette attaque informatique était si élaborée, explique Guy Rosen, vice-président de la gestion des produits chez Facebook, que «nous ne saurons peut-être jamais» qui l’a perpétrée. Un aveu d’impuissance des plus stupéfiants, pour une entreprise comptant parmi les plus riches et les plus puissantes de la planète.
Les hackers ont certes fait preuve d’une ingéniosité impressionnante en exploitant trois failles de sécurité jusqu’alors inconnues, mais l’existence même de ces nombreux bugs exploitables est inquiétante en soi. La porte d’entrée des hackers était un bug introduit en juillet 2017 via une fonctionnalité encourageant les internautes à mettre en ligne des vidéos pour leur anniversaire.
Pourquoi est-ce Guy Rosen qui a répondu aux questions des journalistes, me demanderez-vous, cette tâche étant généralement dévolue au responsable de la sécurité? Parce que le chef de sécurité de Facebook, le très respecté Alex Stamos, a démissionné à l’époque du scandale Cambridge Analytica –et parce que Facebook a décidé de ne pas le remplacer.
Plaidoyer décousu
Il y a autre chose que Facebook n’est pas parvenu à préciser vendredi 28 septembre: la raison pour laquelle nous devrions continuer de lui faire confiance.
Deux journalistes –Mike Isaac, du New York Times, et Kurt Wagner, de Recode– ont posé des variantes de cette question au PDG Mark Zuckerberg; il l’a esquivée à chaque fois.
«C’est un problème de sécurité très grave, et nous le prenons très au sérieux», a-t-il répondu à Isaac, qui avait cité la déclaration faite en mars par le PDG, selon laquelle Facebook ne pouvait mériter la confiance des internautes s’il ne parvenait pas à protéger leurs données. Zuckerberg a ensuite bafouillé, évoquant le besoin de «continuer à investir fortement dans la sécurité» et «d’agir de manière plus proactive pour protéger notre communauté». Puis il s’est tourné vers un autre journaliste.
«Nous avons donc réparé la faille, et nous avons adopté des mesures de sécurité supplémentaires, en quelque sorte.»
Quelques minutes plus tard, Wagner lui posait la même question, de but en blanc: «Pourquoi les utilisateurs devraient-ils continuer de vous faire confiance pour tout ce qui touche à leurs informations personnelles?» Zuckerberg fut de nouveau incapable de trouver le moindre argument probant. «C’est un problème grave et nous lui accordons toute notre attention; nous avons donc réparé la faille, et nous avons adopté des mesures de sécurité supplémentaires, en quelque sorte», a-t-il répondu, avant d’hésiter, sentant peut-être que sa réponse laissait à désirer.
Il a alors ressorti un argument rebattu: «La sécurité est une course à l’armement; nous continuons donc d’améliorer nos défenses.» Facebook a affecté «un grand nombre de personnes talentueuses à cette mission, et je pense qu’elles font du bon travail», a-t-il ajouté, sans se montrer bien convaincant. «Cet effort sera constant, et nous devrons lui accorder toute notre attention sur le long terme.»
C’était là le plaidoyer décousu et déconfit d’un homme qui a manqué à sa promesse, en a fait une autre encore plus abracadabrante pour s’extirper de cette situation problématique, avant de rompre à nouveau son serment. À ce stade, Mark Zuckerberg n’a plus vraiment de marge de manœuvre.
Priorité marchande
Peut-être la sécurité numérique est-elle effectivement une course à l’armement, et peut-être Facebook fait-il bel et bien de son mieux pour la remporter –évidemment sans qu’elle ne mette à mal son éternelle course aux informations personnelles, qui alimentent ses publicités ciblées. Mais les priorités de Facebook sont très éloignées de ses déclarations: un récent article de Gizmodo a révélé que les numéros de téléphone fournis par les utilisateurs et utilisatrices pour des raisons de sécurité avaient été utilisés par le réseau social à des fins publicitaires.
Zuckerberg n’a pas réussi à expliquer pourquoi les internautes devraient continuer à stocker de grandes quantités d’informations personnelles en toute confiance derrière le mur de défense de Facebook.
Le modèle commercial de Facebook repose sur la collecte et le stockage des données sensibles de plus de deux milliards de personnes; le réseau social ne cessera donc jamais d’être une cible. Et il est désormais clair que son mur de défense est loin d’être imprenable. Ce qui n’est finalement pas si surprenant, pour une entreprise qui a installé son siège dans une rue appelée Hacker Way, et qui a longtemps eu pour devise «Bouger vite et tout casser» («Move Fast and Break Things»).
Pendant que Zuckerberg tentait maladroitement de formuler ses arguments, la véritable réponse aux questions des journalistes était là, en creux, dans les non-dits: non, les utilisateurs et utilisatrices ne devraient probablement faire confiance à Facebook pour leurs données personnelles. Et dans un monde idéal, le réseau social ne mériterait pas de continuer à s'en servir.
Il va sans dire que des centaines de milliers de personnes continueront d’utiliser Facebook: le réseau social occupe désormais une place si prépondérante –sur le marché comme dans notre vie quotidienne– qu’il existe désormais peu d’alternatives (rappelons que deux des plus grandes plateformes parallèles, WhatsApp et Instagram, ont été rachetées par Facebook, et que l'entreprise a peu à peu resserré son emprise sur elles).
Et le réseau social continuera d'offrir ses services aux internautes. Parce qu’il demeure un géant du secteur, et parce qu’il y a encore des montagnes d’argent à gagner.
