Réseaux sociaux : quand les utilisateurs s’en fichent

Par Jean-Marc Manach

« Réseaux sociaux : comment éviter la gueule de bois numérique ? » Le titre est fort peu institutionnel, le contenu tout sauf langue de bois, l’auteur on ne peut plus officiel : l’Enisa (European Network and Information Security Agency) est l’agence chargée de la sécurité informatique pour le compte de l’Union européenne.

Suite à un atelier consacré, cet été, aux risques et enjeux en matière de sécurité des MySpace, Twitter, Facebook et autres réseaux sociaux, l’Enisa vient de publier la liste des risques qu’elle a identifiés, et des bonne pratiques qu’elle recommande. Une lecture des plus instructives alors que la polémique au sujet de l’exploitation commerciale des données personnelles par Facebook enflamme et les médias et la blogosphère, et que l’Enisa vient de décider de lancer une consultation publique (en mode wiki et jusqu’au 28 février prochain) à ce sujet.

L’Enisa, qui précise, en liminaire, que son document a été rédigé au moyen d’un wiki, d’une mailing list et de conférences téléphoniques, tient tout d’abord à rappeler que les réseaux sociaux sont « l’un des phénomènes technologiques les plus remarquables du 21e siècle« , et que certains d’entre eux comptent parmi les sites web les plus visités. Mais comme, précisément, leur succès commercial dépend du nombre de leurs utilisateurs, et que la nature humaine incite les individus à entrer en relation avec les autres, « la pression commerciale et sociale » accroît considérablement les risques en terme de sécurité et d’atteintes à la vie privée :

« À tout moment, vous pouvez retirer votre Contenu utilisateur du site. Si vous choisissez de le faire, la licence accordée ci-dessus s’éteindra automatiquement, même si vous reconnaissez que la Société peut archiver et conserver des copies de votre Contenu utilisateur. »
  • les profils peuvent être enregistrés et stockés par des tierces parties ou encore dans des mémoires cache alors que, à l’opposé, il n’est pas possible de les effacer de façon définitive et sécurisée ;
  • au-delà des données personnelles entrées par les utilisateurs eux-mêmes, les relations qu’ils établissent avec les autres utilisateurs constituent une part notable de la valeur ajoutée commerciale des réseaux sociaux, et peuvent, dès lors, décupler les risques de spam, phishing et usurpations d’identité ;
  • les technologies de reconnaissance d’image, qu’il s’agisse de visage ou d’éléments de décor, créés initialement pour les forces de l’ordre et de plus en plus utilisés par des opérateurs privés, ainsi que la possibilité de « taguer » les images et de reconnaître ceux que l’on y voit rendent possible l’établissement de liens entre des profils différents et l’identification d’individus jusque là anonymes ;
  • la multiplication des agrégateurs de réseaux sociaux, ainsi que des widgets créés par des tiers, accroissent les risques de failles de sécurité, et amoindrissent les possibilités (techniques autant que légales) de contrôler ce qui sera fait des données ;
  • du fait de leur nature virale, et de l’absence de vérification de l’identité de leurs utilisateurs, les réseaux sociaux facilitent d’autant le pishing, le spam, le harcèlement, l’usurpation d’identité et donc l’infiltration des réseaux ainsi que l’espionnage industriel.

En attendant de connaître l’ampleur des attaques virales dont seront probablement victimes les réseaux sociaux, certains acteurs économiques ont d’ores et déjà commencé à chiffrer, sinon la valeur marchande des dégâts à venir, tout du moins les risques pris par leurs utilisateurs.

Un test, effectué par Sophos, une société spécialisée dans les antivirus et les antispam, auprès d’un échantillon de 200 utilisateurs de Facebook, révélait ainsi que 41 % d’entre-eux avaient gentiment révélé des informations personnelles à un certain « Freddi Staur » (une anagramme de « ID Fraudster« , que l’on pourrait traduire par « usurpateur d’identité« ). Nombre d’entre eux affichent aussi, non seulement leur ville de résidence, leur employeur, leur date de naissance et leur adresse e-mail, mais aussi leur identifiant de messagerie instantanée, facilitant d’autant le travail de ceux qui voudraient les surveiller, voire pire.

Un sondage, effectué pour le compte de la campagne britannique Get Safe Online de sensibilisation à la sécurité informatique, avance pour sa part que 15 % des utilisateurs de ces sites « n’utilisent aucune des possibilités pour rendre confidentielles leurs informations sur ces sites, et 24 % des internautes utilisent le même mot de passe pour tous les sites« , que 27 % des 18-24 ans ont posté des photos de tiers sans leur consentement, et que 34 % des 18-24 ans, et 30 % des 25-34 ans, « révèlent des informations susceptibles d’être utilisées à des fins criminelles« .

Et si l’auto-surveillance était une chance de renforcer la vie privée ?

Il ne s’agit là que de statistiques, et l’Enisa ne cherche aucunement à diaboliser le phénomène : les utilisateurs sont bien évidemment responsables de ce qu’ils font sur ces réseaux sociaux, mais ils ne mesurent pas forcément la portée de ce qu’ils y font.

L’Enisa constate ainsi que nombre d’entre eux n’éprouvent aucune difficulté à répondre, nominativement, à des « sondages« , émis par leurs connaissances, leur demandant s’il leur est déjà arrivé de voler, de mentir et autres comportements que la morale, sinon le droit, réprouvent, alors qu’ils ne répondraient jamais à de telles questions posées par des inconnus, et encore moins si l’objet était de publier, sur le web, la liste de faits qui pourraient leur être reprochés.

« Nous pouvons également utiliser des informations sur vous que nous collectons auprès d’autres sources, y compris (sans que la liste soit exhaustive) dans les journaux et sur Internet, dans les blogs, les services de messagerie instantanée ou auprès des développeurs d’applis sur notre plateforme et d’autres utilisateurs de Facebook, ceci afin de compléter votre profil. »

L’Enisa recommande dès lors de :

  • ne surtout pas interdire l’utilisation des réseaux sociaux dans les établissements scolaires, ce qui serait contre-productif, inciterait les jeunes à ne pas s’exprimer sur les problèmes qu’ils y rencontrent, et aggraverait la fracture numérique qui les sépare de ces adultes qui ne prennent pas la peine d’apprendre à s’en servir ;
  • organiser des campagnes et réunions de sensibilisation ciblant les utilisateurs des réseaux sociaux, mais aussi leurs développeurs, et généraliser la mise en place de boutons incitant à dénoncer les abus ;
  • améliorer la transparence de ce qui est fait des données, et interdire l’apposition de tags et identifiants sur des photos sans le consentement de ceux qui y apparaissent ;
  • encourager l’adoption -par défaut- de méthodes d’identification et de contrôle d’accès plus sécurisées que celles actuellement en vigueur, développer des filtres contre le spam et le pishing, mettre en place des contre-mesures afin de limiter les risques d’espionnage industriel, offrir la possibilité d’effacer définitivement ses propres données, et promouvoir l’intéropérabilité et la portabilité des profils et réseaux, afin de rendre aux utilisateurs le contrôle de leurs préférences et profils ;
  • revoir le cadre légal, qui n’est pas tout à fait adapté : à partir de quand un contenu créé par un utilisateur peut-il être considéré comme inapproprié ou relevant du spam ? Quel est le statut des tags ajoutés par des tiers ? Quid de la notion de « donnée personnelle » dans les environnements, mi-privés mi-publics, des réseaux sociaux ?

En conclusion, l’Enisa avance que les réseaux sociaux créent de nouvelles opportunités qu’il serait dommage de laisser de côté. Non seulement parce qu’ils soulignent « la fin des médias passifs » et donnent plus de pouvoirs aux internautes, mais aussi parce qu’ils constituent, « fondamentalement, un système de gestion de l’identité » permettant, s’ils sont bien utilisés, d’améliorer la gestion de la vie privée.

Une vision peut-être un peu naïve, au vu de la banalisation croissante, depuis les débuts du web, des outils et services de surveillance, et de la facilité avec laquelle les internautes divulguent leurs données personnelles. Mais un appel des plus stimulants à travailler, très concrètement, et dès à présent, à la généralisation de standards de gestion de l’identité. Sous peine de « gueule de bois numérique« , sinon de coma identitaire.

—-
PS : Les notes en aparté sont extraites de la traduction en français, par Jean Marie Le Ray, de passages des conditions d’utilisation de Facebook.

À lire aussi sur internetactu.net

0 commentaires

  2. On en parle de plus en plus et s’est bien. Il faut en parlé des problèmes que posent ses sites au niveau vie privée.

  3. Ce qui est intéressant avec l’approche de l’ENISA, c’est qu’elle n’est pas dans la diabolisation. Ainsi, l’utilisateur de réseaux sociaux ne conclut pas hâtivement « pfff… de toutes façons, ils n’ont rien compris… ».

    Question toutefois particulièrement sur la 2ème recommandation (« organiser des campagnes et réunions de sensibilisation… ») : on fait comment ??

  4. @Mael : si j’ai bien compris ce qu’écrit l’Enisa, l’organisation de telles campagnes de sensibilisation incomberait aux réseaux sociaux eux-mêmes, à leurs utilisateurs, mais aussi aux responsables de l’éducation nationale et des établissements scolaires, etc. Mais bon, d’ici à ce que l’apprentissage de Facebook fasse partie du programme scolaire…

  5. Si vous êtes sur Facebook, rejoignez ce groupe qui tente de faire changer la charte utilisateur.

  7. ces problèmes sont redondants….
    pour les reseaux professionnels mieux vaut s’orienter vers les reseaux spécialisés tels que linkedin ou lesjeudis.com pour les spécialistes français ( qui d’ailleurs proposent un service entierement anonyme et interdit aux recruteurs afin de privilegier la libre parole des chercheurs d’emploie desireux de s’informer sur les employeurs)
    facebook c’est la grosse machine americaine….pas bon!

  8. ben linkedin et lesjeudis.com sont deux sites differents… linkedin est un reseau social a la face book alors que lesjeudis.com est un reseau de professionnels de l’informatique destiné au recrutement

  9. c clair… linkedin c est un facebook de plus, perso j voi pas trop l’interet mais ca n’engage que moi
    sinon a part lesjeudis.com fo pas oublier non plus viadeo ( plus generaliste que lesjeudis.com qui est plus spé ds l’info et ingenierie, mais bon complement a mon avis)

    bonnes fetes

  10. Linkedin se distingue de Facebook en ce qu’il s’agit surtout exclusivement de contacts professionnels et non de simples amis. A savoir que les recruteurs et chasseurs de tete utilisent frequemment ce site (alors que Facebook evidemment non)
    Je pense que ces deux sites sont assez complementaires et qu’ils ne se phagocitent pas vraiment.

  11. le problème de linkedin c’est qu’on peut pas uploader son cv . les seuls reseaux que je connaisse qui permettent d’uploader son cv sont viadeo et lesjeudis.com
    alors c sur linkedin c bien quand meme mais y a encore quelques fonctionalités a revoir a mon avis s’ils veulent vraiment pouvoir estampiller leur reseau comme etant professionel
    bonne soirée a tous,
    florent.

  12. Proposition d’article
    Surfer et lutter contre le réchauffement climatique, c’est possible !

    Way 2 Be c’est d’abord, un geste simple pour au quotidien aider la lutte contre le réchauffement climatique (une « façon d’être, a way to be », le site n’a en rien des origines belges). Comment ? En substituant votre moteur de recherche traditionnel (généralement Google) par celui de http://www.way2.be , les résultats sont les mêmes (Way2Be utilise Google) mais les effets sont différents : on s’engage à reverser 100% des recettes publicitaires à la fondation des Nations Unies. Cette fédération internationale est à l’origine de nombreux projets ayant pour objectif de diminuer l’impact de l’homme sur terre. Depuis un an que ce moteur de recherche est en place, c’est près de 400$ US qui ont été donnés à la fondation.

    Way2 Be devient bien plus qu’un moteur de recherches !

    Avec le lancement de la nouvelle version, le 30 décembre 2008, Way2.be devient le premier réseau social éco-citoyen. L’objectif reste le même, reverser les bénéfices publicitaires dans la lutte contre le réchauffement climatique, mais maintenant vous pouvez également, créer votre blog, vos groupes, joindre vos amis, des albums photos… Une pléthore de nouvelles fonctions pour que la lutte contre le réchauffement climatique reste une priorité.

    Site internet : http://www.way2.be

    Cordialement,

    Olivier SCHAAL – Way2.be