Scandale des données Facebook–Cambridge Analytica

Le cabinet de conseil politique Cambridge Analytica a obtenu de manière abusive les données personnelles de jusqu'à 87 millions d'utilisateurs Facebook via une application de quiz de personnalité, exploitant l'API tierce permissive de Facebook pour collecter les réseaux d'amis et bâtir des profils de ciblage électoral. Le scandale a entraîné une amende record de 5 milliards de dollars de la FTC.

Le 17 mars 2018, The Guardian et The New York Times ont publié le témoignage du lanceur d'alerte Christopher Wylie, révélant que le cabinet de conseil politique Cambridge Analytica avait obtenu les données personnelles de dizaines de millions d'utilisateurs de Facebook sans leur consentement et les avait utilisées pour bâtir des modèles psychographiques de ciblage électoral. Cette révélation est devenue le scandale de confidentialité des données emblématique de l'ère des réseaux sociaux et a donné lieu à une amende record de 5 milliards de dollars contre Facebook.

Ce qui s'est passé

Les données n'ont pas été extraites par un piratage. Elles ont été collectées via la conception même de la plateforme Facebook. Vers 2013-2014, le chercheur de l'université de Cambridge Aleksandr Kogan a développé une application de quiz de personnalité baptisée « thisisyourdigitallife » et l'a diffusée via Facebook. Environ 270 000 personnes ont installé l'application et consenti à partager leurs données.

La faille critique résidait dans l'API Graph de Facebook, qui permettait alors à une application non seulement de lire les données de l'utilisateur installant l'application, mais aussi celles de tous les amis de cet utilisateur — à l'insu de ces amis et sans leur consentement. Grâce à ce multiplicateur de réseau d'amis, l'application de Kogan a collecté des informations sur jusqu'à 87 millions de personnes, dont l'immense majorité n'avait jamais rien installé.

La société de Kogan, Global Science Research, a transmis le jeu de données à Cambridge Analytica (filiale de SCL Group), qui s'en est servi pour élaborer des profils psychographiques destinés au micro-ciblage des électeurs lors des primaires et de l'élection présidentielle américaine de 2016, ainsi que d'autres campagnes politiques.

Impact

Jusqu'à 87 millions d'utilisateurs Facebook ont vu leurs données collectées, notamment leurs noms, localisations, adresses e-mail, « j'aime » de pages et traits psychologiques inférés.
La valeur boursière de Facebook a chuté d'environ 100 milliards de dollars dans les semaines suivant l'éclatement de l'affaire, sur fond de mouvement #DeleteFacebook.
La Federal Trade Commission américaine a infligé une amende de 5 milliards de dollars en juillet 2019 — la plus lourde jamais prononcée par l'agence pour une violation de la confidentialité — assortie d'une ordonnance de 20 ans réorganisant la gouvernance de la confidentialité chez Facebook et créant un comité de confidentialité indépendant au niveau du conseil d'administration.
L'Information Commissioner's Office britannique a infligé à Facebook une amende de 500 000 £ (le maximum prévu par la loi antérieure au RGPD).
Cambridge Analytica et SCL Group ont déposé le bilan en mai 2018.

Pourquoi c'est important

Le scandale a recadré la question des données personnelles comme un problème systémique de gouvernance des plateformes plutôt qu'une série de violations isolées. Il a mis en lumière comment une conception permissive des API tierces — accordant aux applications l'accès aux données d'utilisateurs non consentants via les graphes d'amis — pouvait être instrumentalisée à l'échelle d'une population. Les retombées ont accéléré la régulation mondiale de la confidentialité (le RGPD de l'UE est entré en vigueur deux mois plus tard), poussé Facebook à verrouiller ses API destinées aux développeurs et établi le précédent selon lequel les plateformes peuvent être tenues financièrement responsables de la manière dont des tiers exploitent leur architecture de partage de données.

Il demeure l'étude de cas canonique en matière de consentement, d'usage secondaire des données et de micro-ciblage politique, citée dans pratiquement tous les programmes modernes de protection des données.

Chronologie

2013-2014

Le chercheur Aleksandr Kogan développe l'application de quiz de personnalité « thisisyourdigitallife », qui collecte des données non seulement auprès des ~270 000 personnes qui l'installent mais aussi de l'ensemble de leurs réseaux d'amis via l'API Graph de Facebook.

2014-2015

La société de Kogan, Global Science Research, transmet le jeu de données collecté à Cambridge Analytica / SCL Group, qui s'en sert pour bâtir des modèles psychographiques de ciblage électoral.

11 décembre 2015

The Guardian révèle pour la première fois que Cambridge Analytica a utilisé des données issues de Facebook pour la campagne des primaires présidentielles de Ted Cruz. Facebook annonce qu'il exigera la suppression des données.

17 mars 2018

The Guardian et The New York Times publient le témoignage du lanceur d'alerte Christopher Wylie, révélant l'ampleur de la collecte et que les données n'ont jamais été entièrement supprimées.

21 mars 2018

Mark Zuckerberg reconnaît publiquement la « rupture de confiance » et annonce des audits et des restrictions d'API.

4 avril 2018

Facebook révise à la hausse son estimation des utilisateurs concernés, jusqu'à 87 millions.

10 avril 2018

Zuckerberg témoigne devant le Congrès américain pendant deux jours.

24 juillet 2019

La FTC annonce une amende de 5 milliards de dollars et une ordonnance de confidentialité de 20 ans contre Facebook — la plus lourde amende de confidentialité de l'histoire des États-Unis à l'époque.

Sources

ftc.govhttps://www.ftc.gov/news-events/news/press-releases/2019/07/ftc-imposes-5-billion-penalty-sweeping-new-privacy-restrictions-facebook

theguardian.comhttps://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election

washingtonpost.comhttps://www.washingtonpost.com/business/2021/04/03/facebook-data-leak-insider/

npr.orghttps://www.npr.org/2018/12/04/673144745/100-million-quora-users-affected-by-malicious-data-breach

Incidents liés

Fuite de donnéesRésolu3 avril 2021

Fuite de 533 M d'enregistrements Facebook collectés par scraping

Les données de 533 millions d'utilisateurs Facebook de 106 pays — dont numéros de téléphone, identifiants Facebook, noms complets, localisations, dates de naissance et certaines adresses e-mail — ont été publiées gratuitement sur un forum de piratage de bas niveau. Ces données avaient été collectées via une faille de l'importateur de contacts corrigée par Facebook en 2019.

Victim: Facebook
Loss: $290.0M
Records: 533.0M

Ingénierie socialeRésolu18 septembre 2022

Fuite de GTA VI chez Rockstar Games (Lapsus$)

Un membre adolescent de Lapsus$ a compromis le Slack interne et les systèmes de développement de Rockstar Games par ingénierie sociale, puis a divulgué environ 90 séquences en cours de développement du jeu inédit Grand Theft Auto VI — l'une des plus grandes fuites de l'histoire du jeu vidéo.

Victim: Rockstar Games (Take-Two Interactive)
Loss: $5.0M

Ingénierie socialeContenu15 septembre 2022

Intrusion Uber par Lapsus$ via ingénierie sociale

Un individu de 18 ans affilié à Lapsus$ a manipulé un sous-traitant d'Uber par ingénierie sociale, a vaincu la MFA grâce à une campagne de bombardement de notifications d'une heure, puis a trouvé des identifiants administrateur codés en dur sur un partage interne qui ont déverrouillé les tableaux de bord AWS, G-Suite, Slack et HackerOne d'Uber.

Victim: Uber Technologies

Ingénierie socialeContenu22 mars 2022

Intrusion Okta via le support tiers par Lapsus$

Le groupe d'extorsion Lapsus$ a compromis l'ordinateur portable d'un ingénieur de support du sous-traitant Sitel d'Okta, obtenant une fenêtre d'accès de 25 minutes en janvier 2022 qui a touché deux locataires clients. L'intrusion n'est devenue publique que lorsque Lapsus$ a diffusé des captures d'écran en mars.

Victim: Okta (via le sous-traitant Sitel/Sykes)