Facebook a collecté des données d'appareils sur 187 000 utilisateurs à l'aide d'une application de surveillance interdite – TechCrunch

Facebook a collecté des données d'appareils sur 187 000 utilisateurs à l'aide d'une application de surveillance interdite – TechCrunch
4.5 (90%) 28 votes


Facebook a obtenu des données personnelles et sensibles sur environ 187 000 utilisateurs de son application de recherche, aujourd'hui disparue, interdite par Apple au début de l'année, après la violation de ses règles par l'application.

Le géant des médias sociaux a déclaré dans une lettre au bureau du sénateur Richard Blumenthal – que TechCrunch avait obtenue – qu’il avait collecté des données sur 31 000 utilisateurs aux États-Unis, dont 4 300 adolescents. Le reste des données collectées provenait d'utilisateurs en Inde.

Plus tôt cette année, une enquête TechCrunch a révélé l'existence de violations des certificats de développeur d'entreprise délivrés par Apple, conçues pour permettre uniquement aux employés de gérer des applications iPhone et iPad utilisées uniquement à l'intérieur de l'entreprise. L’enquête a révélé que les entreprises construisaient et fournissaient des applications aux consommateurs extérieurs à l’App Store d’Apple, en violation des règles d’Apple. Les applications payaient les utilisateurs en contrepartie de la collecte de données sur la manière dont les participants utilisaient leur appareil et de la compréhension de leurs habitudes en obtenant l'accès à toutes les données réseau entrant et sortant de leur appareil.

Apple en révoquant le certificat de développeur d'entreprise de Facebook – et. Ce faisant, la révocation a mis hors ligne le parc d’applications internes pour iPhone ou iPad des deux sociétés qui reposaient sur les mêmes certificats.

Mais en réponse aux questions des législateurs, Apple a déclaré ne pas savoir combien de périphériques avaient installé l’application non conforme aux règles de Facebook.

«Nous savons que le profil d'approvisionnement pour l'application Facebook Research a été créé le 19 avril 2017, mais cela ne correspond pas nécessairement à la date à laquelle Facebook a distribué le profil d'approvisionnement aux utilisateurs finaux», a déclaré Timothy Powderly, directeur des affaires fédérales d'Apple, dans sa lettre.

Facebook a déclaré que l'application datait de 2016.

Une partie de la lettre d’Apple aux législateurs. (Image: TechCrunch)

TechCrunch a également obtenu les lettres envoyées par Apple et Google aux législateurs début mars, mais n'a jamais été rendu public.

Ces applications de «recherche» s'appuyaient sur la volonté des participants de télécharger l'application de l'extérieur de l'App Store et d'utiliser les certificats de développeur délivrés par Apple pour installer les applications. Ensuite, les applications installeraient un certificat de réseau racine, permettant à l'application de sortir de l'appareil – comme l'historique de navigation sur le Web, les messages cryptés et l'activité des applications mobiles – incluant éventuellement les données de leurs amis – à des fins d'analyse concurrentielle.

Une réponse de Facebook sur le nombre d'utilisateurs impliqués dans le projet Atlas (Image: TechCrunch)

Dans le cas de Facebook, l’application de recherche – baptisée Project Atlas – était une version reconditionnée de celle-ci, que Facebook avait été obligé de supprimer de l’App Store d’Apple pour l’année dernière.

Cette semaine encore, Facebook as Study, disponible uniquement sur Google Play, est destiné aux utilisateurs approuvés par le partenaire de recherche de Facebook, Applause. Facebook a déclaré qu'il serait plus transparent de collecter les données des utilisateurs.

Le vice-président des politiques publiques de Facebook, Kevin Martin, a défendu l’utilisation par la société de certificats d’entreprise, affirmant que «c’était une pratique relativement bien connue du secteur». Interrogé, un porte-parole de Facebook n’a pas quantifié cela plus avant. Plus tard, TechCrunch a constaté qu’il utilisait des certificats d’entreprise pour échapper à l’app store.

Facebook "ignore spécifiquement les informations partagées via des applications financières ou de santé." Dans sa lettre aux législateurs, Facebook s'en tenait à ses armes, affirmant que sa collecte de données était axée sur "l'analyse", mais confirmait que "dans certaines circonstances isolées, l'application a reçu un nombre limité de contenu ciblé. "

"Nous n'avons pas examiné toutes les données pour déterminer si elles contenaient des données sur la santé ou des données financières", a déclaré un porte-parole de Facebook. "Nous avons supprimé toutes les données d'analyse du marché au niveau utilisateur collectées à partir de l'application Facebook Research, qui incluraient toutes les données de santé ou financières pouvant exister."

Mais Facebook ne dit pas quel type de données, mais seulement que l’application ne décrypte pas «la grande majorité» des données envoyées par un appareil.

Facebook décrivant le type de données collectées, y compris «un contenu limité et non ciblé» (Image: TechCrunch)

La lettre de Google, rédigée par le vice-président des politiques publiques, Karan Bhatia, ne fournissait pas un grand nombre d’appareils ou d’utilisateurs, indiquant seulement que son application était un programme «à petite échelle». Lorsqu'il a été contacté, un porte-parole de Google n'a pas commenté avant la date limite.

Google a également déclaré n'avoir trouvé "aucune autre application distribuée aux utilisateurs finaux grand public", mais a confirmé plusieurs autres applications utilisées par les partenaires et les sous-traitants de la société, qui ne s'appuient plus sur des certificats d'entreprise.

Google expliquant quelles applications utilisaient de manière incorrecte les certificats d'entreprise délivrés par Apple (Image: TechCrunch)

Apple a déclaré à TechCrunch que Facebook et Google "se conformaient" à ses règles au moment de la publication. Lors de sa conférence annuelle des développeurs la semaine dernière, la société a déclaré qu'elle "se réserve le droit d'examiner et d'approuver ou de rejeter toute application à usage interne".

La volonté de Facebook de collecter ces données auprès d’adolescents – en dépit de la presse et des régulateurs – montre à quel point la société apprécie l’étude des études de marché sur ses concurrents. Avec le redémarrage de son programme de recherche rémunéré mais avec plus de transparence, la société continue de tirer parti de sa collecte de données pour rester en avance sur ses rivales.

"Après que son application précédente a été supprimée et bloquée à juste titre, Facebook a réagi plus rapidement pour réintroduire un produit d'étude de marché que pour offrir une protection substantielle de la vie privée du consommateur ou résoudre les abus importants sur sa plateforme", a déclaré le sénateur Blumenthal à TechCrunch. «À une époque où la société est sous enquête pour ses pratiques en matière de données et ses actions anticoncurrentielles, l'application Facebook Study est au mieux sourde et mal réfléchie."

Facebook et Google se sont aggravés dans le scandale des abus liés aux applications pour entreprises, mais des critiques ont déclaré qu'en révoquant des certificats d'entreprise, Apple conserve trop de contrôle sur le contenu des clients de ses appareils.

Le ministère de la Justice et la Commission fédérale du commerce sont les quatre grands géants de la technologie – Apple, Amazon, Facebook et Alphabet, propriétaire de Google – pour avoir enfreint les lois antitrust américaines.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *