Le succès planétaire des réseaux sociaux – Facebook en premier lieu – à fait rentrer la société, toutes classes confondues, dans une nouvelle époque, celle de l’exhibitionnisme numérique. En toute conscience, des personnes – pas toutes adultes et consentantes – se dévoilent au propre comme au figuré, en révélant – souvent – leur identité réelle, ou en délivrant suffisamment d’informations pour faciliter le travail de « profilage social » auquel peuvent se livrer quelques faux amis introduits par mégarde dans le cercle des relations ou de véritables malfaisants dont l’objet est de récupérer des données personnelles à des fins criminelles. Les opérateurs de réseaux sociaux ne sont d’ailleurs pas innocents dans cette affaire puisqu’il collectent eux aussi des données pour leur profilage publicitaire.

Si l’on peut regretter que des gens divulguent le meilleur et le pire sur leur vie privée et professionnelle à des « amis » dont ils pensent qu’ils font tous la même chose, on doit s’alarmer des « fuites » du système, des failles techniques dont profitent hackeurs farceurs et vrais criminels. Déjà en 2007, soit trois années après sa création sur le campus d’Harward, Facebook, en croissance exponentielle, subissait des remontrances pour ne pas verrouiller suffisamment l’accès aux données privées. En mars 2008, un informaticien prétendait récupérer très facilement des photos privées postées par des utilisateurs, bien que celles-ci aient été « taguées » pour n’être vues que par des « amis ». En mai de la même année, la chaîne de télévision BBC1 montrait comment une application ludique permettait de récupérer des informations sur les membres du réseau social… Deux ans plus tard, en 2009, le portail de Mark Zuckerberg présentait toujours des vulnérabilités inquiétantes. Un groupe de fans, réunis dans FBHive.com, avait dévoilé une faille permettant de visiter les « profils » des chers membres, via un module d’extension de Firefox. Pour apporter la preuve de leur « méfait », ils avaient envoyé à un rédacteur du blog spécialisé Techcrunch quelques données personnelles intéressantes comme sa date de naissance, sa ville de résidence, le nom de sa fiancée, ou encore ses préférences politiques… Dérangeant n’est-ce pas. Surtout que des alertes ont continué à être régulièrement données. Evidemment, Facebook est la cible la plus médiatique, mais il n’est pas certain que les réseaux sociaux orientés vers le « networking » professionnel soient plus fiables !!

Des précautions à prendre

  • Evidemment, la première des précautions à prendre c’est de ne point trop en dire. En 2010, lors d’un colloque sur la sécurité des données personnelles, le président de la CNIL (Commission Nationale Informatique et Liberté), Mr Alex Türck, profilait à son tour les catégories d’utilisateurs de réseaux sociaux : les innocents, sans conscience des risques inhérents à la divulgation de données personnelles, les très jeunes (moins de 10 ans) et les très âgés.
  • les naïfs qui pensent maîtriser les risques et vivent au sein d’une communauté qui leur « impose » l’usage du réseau social. Ce sont des « suiveurs » qui n’ont rien à se reprocher, donc rien à cacher, et dont la notion d’intimité est devenue floue.
  • les prosélytes, de plus en plus nombreux, des « modernes » qui ringardisent les prudents et les frileux, qui réduisent la sphère de la vie privée au point non seulement de ne rien cacher mais, parfois, de tout montrer !
    Et la CNIL de préconiser trois périodes dans la vie d’un compte, desquelles découlent trois exigences au bénéfice de l’internaute : d’abord exiger son consentement aux règles à l’ouverture du compte, puis faire de la transparence sur le fonctionnement du compte durant son existence, enfin le droit à l’oubli et à l’effacement lors de sa clôture. Mais si l’institution française a les idées claires sur ce qui est souhaitable de faire, il n’en va pas de même dans d’autres pays, avec pour résultat sûrement trop de laissé faire, en particulier dans le territoire hébergeant les principaux réseaux sociaux qui nous intéressent : les Etats Unis. Trop de régulation peut être considéré comme une position autoritaire et antidémocratique mais le contraire ouvre la porte à tous les excès contre les libertés individuelles. Nombreux sont ceux qui considèrent que l’activité de milliers de « nano-bigbrothers » collectant et disséminant des informations jour après jour connaît déjà un développement qualifié de « métastatique », déjà incontrôlable et probablement irréversible. Dés lors comment s’étonner de ce récent sondage réalisé à la demande de l’éditeur d’antivirus Avira et publié en mai dernier : une écrasante majorité d’internautes craint pour la sécurité de ses données personnelles laissées sur les réseaux sociaux. Ils redoutent que leurs informations personnelles puissent être volées ou utilisées à mauvais escient sur Facebook, Google+ ou Twitter, 40% des sondés affirmant n’avoir aucune confiance dans aucun réseau social. Facebook est le plus exposé aux risques de vol ou de détournement de données pour 25% des sondés, tandis que Google+ l’est pour 19% et Twitter pour seulement 2%. Ce constat affligeant appelle quelques commentaires sur la sécurité de l’hébergement.

Des données hyper-sécurisés ?

Au vu de cet état des lieux édifiant, il est clair que l’opérateur d’un réseau social se doit d’apporter toutes les garanties possibles à ses utilisateurs. Pour cela, il faut qu’il sélectionne un hébergeur capable de mettre en oeuvre toutes les sécurités nécessaires à la protection des serveurs contre les menaces de piratage, les virus et même les attaques en déni de service (DDoS) qui peuvent interdire l’accès au site. Les intrusions virales doivent être arrêtées par des pare-feux efficaces qui peuvent être, soit des solutions totalement dédiées, soit des solutions mutualisées pour amoindrir les coûts, éventuellement agrémentées d’options spécialisées : anti-virus, système de prévention d’intrusion (IPS), anti-spam, filtre web, etc. Un hébergeur répondant à la certification PCI DSS peut également apporter des avantages en matière de respect rigoureux des 12 règles de base de la sécurité exigées par le secteur des cartes de paiement. Ces règles qui, rappelons le encore une fois, ont pour but de prévenir le vol des données de cartes de crédit et plus généralement de sécuriser les échanges et le stockage de ces données, définissent des procédures et des technologies qui peuvent globalement s’appliquer à toutes les données personnelles même si elles ne sont pas d’ordre transactionnel.

Quelques règles pour protéger ses données personnelles sur les réseaux sociaux

Sur Facebook, il existe des fonctionnalités pour contrôler ce que les internautes non listés parmi les « amis » peuvent voir d’un profil laissé « public » mais il est possible de recourir à une alternative : l’emploi de deux profils, le premier avec un surnom qui assure un certain anonymat (attention aux photos !), l’autre sous la vraie identité et sur lequel collègues et/ou supérieurs de travail peuvent être acceptés sans risque. Un stratégie que l’on peu expliquer aux tiers par le souhait de ne pas être repéré sur Facebook par n’importe qui.

Quelques règles s’imposent aussi :

  • durcir son mot de passe : mélanger minuscules, majuscules et chiffres. Les noms d’animaux de compagnie ou les dates de naissance sont beaucoup trop simples à deviner !!.
  • supprimer les cookies après déconnexion : Facebook peut suivre l’activité de ses utilisateurs par l’intermédiaire de ces cookies même une fois déconnecté. Un réglage du navigateur peut faire cette purge automatiquement à la fermeture, encore faut-il fermer le navigateur après usage !!.
  • être prudent sur la provenance des applications demandant accès aux données personnelles !!
  • réfléchir aux informations devant être publiées et aux conséquences éventuelles de leur détournement.

La popularité de Facebook induit un grand nombre de « cyber-attaques » car ce réseau rassemble des millions d’utilisateurs, donc d’adresse mails et d’autre informations sensibles et privées intéressantes pour beaucoup de monde. Dans un premier temps Facebook préserve les informations dans son propre « nuage » (son cloud, c’est à dire ses serveurs de stockage), mais ensuite, si les utilisateurs autorisent des applications tierces (qui demande la permission d’accéder aux données personnelles) à venir se connecter sur leurs comptes, les données personnelles sont répliquées dans le stockage en « nuage » des promoteurs desdites applications, sans plus aucun contrôle.

En quoi consiste concrètement les cyber-attaques qui peuvent être générées grâce aux données dupliquées :

  • les envois de spams collecteurs d’adresses électroniques : exemple l’application-piège « Découvre qui a consulté ton profil »,
  • les envois de spyware, malware, chevaux de troie, faux logiciel de sécurité…
  • les attaques contre le réseau de l’entreprise d’un utilisateur via son adresse mail ou celles de son employeur,
  • le likejacking : un bouton « j’aime » caché sous la fonction « play » partage automatiquement une vidéo sur le mur de l’utilisateur.
  • le phishing : de fausses pages de connexion permettent de subtiliser le nom et le mot de passe de l’utilisateur, etc

A lire :

le livre blanc publié par Bitdefender : Les amis, les ennemis et Facebook :

La nouvelle lutte contre les escrocs

à télécharger sur : http://www.bitdefender.com/media/materials/white-papers/fr/Facebook_Whitepaper_.pdf