Un rapport publié par les chercheurs en sécurité Talal Haj Bakry et Tommy Mysk affirme que Facebook Messenger et Instagram collectent et utilisent les données des aperçus de liens de manière anormale, au point de violer la loi européenne sur la confidentialité.
En octobre dernier, Bakry et Mysk ont révélé que les aperçus de liens dans les applications de messagerie peuvent entraîner des problèmes de sécurité et de confidentialité sur iOS et Android. Il a été constaté que les applications pouvaient divulguer des adresses IP, exposer des liens envoyés dans des discussions cryptées de bout en bout, télécharger des fichiers volumineux sans le consentement des utilisateurs et copier des données privées via des aperçus de liens.
Dans ce rapport, Bakry et Mysk ont constaté que Facebook Messenger et Instagram se comportaient différemment des autres applications de messagerie en ce sens qu’ils téléchargeaient l’intégralité du contenu de tout lien vers leurs serveurs, quelle que soit leur taille. Interrogé sur ce comportement inhabituel, Facebook a déclaré que tout fonctionnait comme prévu.
Les copies de données d’aperçu de lien stockées sur des serveurs externes peuvent faire l’objet d’une violation ou d’une utilisation abusive, ce qui peut être particulièrement préoccupant pour les utilisateurs soumettant des liens vers des données privées sensibles ou confidentielles telles que des documents commerciaux, des factures, des contrats ou des dossiers médicaux.
Maintenant, Bakry et Mysk ont découvert que Facebook a récemment cessé de générer des aperçus de liens dans Messenger et Instagram pour les utilisateurs vivant en Europe afin de se conformer à la directive de l’UE sur la confidentialité en ligne. Le changement s’applique également aux utilisateurs en dehors de l’Europe s’ils communiquent avec quelqu’un qui vit sur le Vieux Continent.
Les chercheurs suggèrent que, étant donné que l’Europe a « certaines des lois sur la confidentialité les plus strictes » et que Facebook a maintenant supprimé les aperçus de liens pour se conformer à la réglementation, l’entreprise doit avoir utilisé les données des aperçus de liens d’une manière qui n’est pas tout à fait respectueuse de la vie privée.
« Ceci est une confirmation implicite que la gestion par Facebook des aperçus de liens sur Messenger et Instagram n’était pas conforme aux réglementations de confidentialité en Europe, sinon ils n’auraient pas désactivé la fonctionnalité.
L’arrêt de cette fonctionnalité en Europe suggère que Facebook utilise ou a utilisé ce contenu à des fins autres que la simple génération d’aperçus.
Facebook a désactivé les aperçus de liens pour les utilisateurs en Europe afin de se conformer aux nouvelles réglementations en matière de confidentialité. Cela confirme nos préoccupations en matière de confidentialité et que l’envoi de liens vers des fichiers privés dans Messenger et Instagram n’est pas sûr. Bien que Facebook ait désactivé les aperçus de liens en Europe, les utilisateurs d’autres régions doivent s’abstenir d’envoyer des liens via l’une de ces applications. La meilleure option serait de passer à d’autres applications de messagerie qui respectent également la vie privée des utilisateurs de toutes les régions du monde. »
Bakry et Mysk estiment que les aperçus de liens Facebook peuvent avoir enfreint les articles 4:1a, 4:2 et 5:3 de la directive ePrivacy. Ces articles incluent l’exigence selon laquelle les données personnelles ne peuvent être consultées que par le personnel autorisé à des fins légales, la nécessité d’informer les utilisateurs des risques de violation de données et la nécessité d’obtenir le consentement de l’utilisateur après avoir reçu des « informations claires et complètes » sur la manière dont le les données sont collectées.
Étant donné que les liens peuvent concerner des données personnelles, la directive sur la confidentialité en ligne empêche Facebook de stocker, de traiter ou d’utiliser ces informations sans le consentement explicite des utilisateurs dans l’UE. Facebook devrait également expliquer aux utilisateurs pourquoi il télécharge le contenu des vignettes de lien avant de demander leur consentement.
Bakry et Mysk ont montré que les serveurs de Facebook téléchargent et stockent le contenu des liens envoyés via ses applications et, si le même lien est envoyé une deuxième fois, Facebook génère un aperçu du lien sans télécharger le contenu du lien. Cela indique vraisemblablement que le contenu est stocké ou mis en cache par Facebook, comme en témoigne la quantité de données chargées à partir de l’appareil d’un utilisateur.
Les aperçus de lien continuent d’être disponibles sur Messenger et Instagram pour les utilisateurs hors d’Europe. Les conditions d’utilisation actuelles de Facebook stipulent que tout contenu partagé par les utilisateurs via l’un des services de Facebook sera utilisé à diverses fins telles que la personnalisation du contenu, des publicités, des suggestions et des informations utilisateur, à la fois à l’intérieur et à l’extérieur des produits et services commerciaux. En Europe, cette utilisation des données personnelles nécessite désormais le consentement explicite des utilisateurs.
Bakry et Mysk conseillent aux utilisateurs hors d’Europe de ne pas envoyer de liens sensibles sur Messenger ou Instagram, précisément en raison de ces problèmes de confidentialité.
