Réseaux sociaux : quand les utilisateurs s’en fichent

Reprise d’un article publié par Internet actu
Dans : Identité numérique, Normes et standards, Communautés, Droits numériques, Enjeux, débats, prospective, Confiance et sécurité, Articles - Par Jean-Marc Manach le 20/11/2007

(magazine en ligne sous licence Creative Commons)

“Réseaux sociaux : comment éviter la gueule de bois numérique ?” Le titre est fort peu institutionnel, le contenu tout sauf langue de bois, l’auteur on ne peut plus officiel : l’Enisa (European Network and Information Security Agency) est l’agence chargée de la sécurité informatique pour le compte de l’Union européenne.

Suite à un atelier consacré, cet été, aux risques et enjeux en matière de sécurité des MySpace, Twitter, Facebook et autres réseaux sociaux, l’Enisa vient de publier la liste des risques qu’elle a identifiés, et des bonne pratiques qu’elle recommande. Une lecture des plus instructives alors que la polémique au sujet de l’exploitation commerciale des données personnelles par Facebook enflamme et les médias et la blogosphère, et que l’Enisa vient de décider de lancer une consultation publique (en mode wiki et jusqu’au 28 février prochain) à ce sujet.

L’Enisa, qui précise, en liminaire, que son document a été rédigé au moyen d’un wiki, d’une mailing list et de conférences téléphoniques, tient tout d’abord à rappeler que les réseaux sociaux sont “l’un des phénomènes technologiques les plus remarquables du 21e siècle“, et que certains d’entre eux comptent parmi les sites web les plus visités. Mais comme, précisément, leur succès commercial dépend du nombre de leurs utilisateurs, et que la nature humaine incite les individus à entrer en relation avec les autres, “la pression commerciale et sociale” accroît considérablement les risques en terme de sécurité et d’atteintes à la vie privée :
“À tout moment, vous pouvez retirer votre Contenu utilisateur du site. Si vous choisissez de le faire, la licence accordée ci-dessus s’éteindra automatiquement, même si vous reconnaissez que la Société peut archiver et conserver des copies de votre Contenu utilisateur.”

  • les profils peuvent être enregistrés et stockés par des tierces parties ou encore dans des mémoires cache alors que, à l’opposé, il n’est pas possible de les effacer de façon définitive et sécurisée ;
  • au-delà des données personnelles entrées par les utilisateurs eux-mêmes, les relations qu’ils établissent avec les autres utilisateurs constituent une part notable de la valeur ajoutée commerciale des réseaux sociaux, et peuvent, dès lors, décupler les risques de spam, phishing et usurpations d’identité ;
  • les technologies de reconnaissance d’image, qu’il s’agisse de visage ou d’éléments de décor, créés initialement pour les forces de l’ordre et de plus en plus utilisés par des opérateurs privés, ainsi que la possibilité de “taguer” les images et de reconnaître ceux que l’on y voit rendent possible l’établissement de liens entre des profils différents et l’identification d’individus jusque là anonymes ;
  • la multiplication des agrégateurs de réseaux sociaux, ainsi que des widgets créés par des tiers, accroissent les risques de failles de sécurité, et amoindrissent les possibilités (techniques autant que légales) de contrôler ce qui sera fait des données ;
  • du fait de leur nature virale, et de l’absence de vérification de l’identité de leurs utilisateurs, les réseaux sociaux facilitent d’autant le pishing, le spam, le harcèlement, l’usurpation d’identité et donc l’infiltration des réseaux ainsi que l’espionnage industriel.

En attendant de connaître l’ampleur des attaques virales dont seront probablement victimes les réseaux sociaux, certains acteurs économiques ont d’ores et déjà commencé à chiffrer, sinon la valeur marchande des dégâts à venir, tout du moins les risques pris par leurs utilisateurs.

Un test, effectué par Sophos, une société spécialisée dans les antivirus et les antispam, auprès d’un échantillon de 200 utilisateurs de Facebook, révélait ainsi que 41 % d’entre-eux avaient gentiment révélé des informations personnelles à un certain “Freddi Staur” (une anagramme de “ID Fraudster“, que l’on pourrait traduire par “usurpateur d’identité“). Nombre d’entre eux affichent aussi, non seulement leur ville de résidence, leur employeur, leur date de naissance et leur adresse e-mail, mais aussi leur identifiant de messagerie instantanée, facilitant d’autant le travail de ceux qui voudraient les surveiller, voire pire.

Un sondage, effectué pour le compte de la campagne britannique Get Safe Online de sensibilisation à la sécurité informatique, avance pour sa part que 15% des utilisateurs de ces sites “n’utilisent aucune des possibilités pour rendre confidentielles leurs informations sur ces sites, et 24% des internautes utilisent le même mot de passe pour tous les sites“, que 27% des 18-24 ans ont posté des photos de tiers sans leur consentement, et que 34% des 18-24 ans, et 30% des 25-34 ans, “révèlent des informations susceptib ! les d’être utilisées à des fins criminelles“.

Et si l’auto-surveillance était une chance de renforcer la vie privée ?
Il ne s’agit là que de statistiques, et l’Enisa ne cherche aucunement à diaboliser le phénomène : les utilisateurs sont bien évidemment responsables de ce qu’ils font sur ces réseaux sociaux, mais ils ne mesurent pas forcément la portée de ce qu’ils y font.

L’Enisa constate ainsi que nombre d’entre eux n’éprouvent aucune difficulté à répondre, nominativement, à des “sondages“, émis par leurs connaissances, leur demandant s’il leur est déjà arrivé de voler, de mentir et autres comportements que la morale, sinon le droit, réprouvent, alors qu’ils ne répondraient jamais à de telles questions posées par des inconnus, et encore moins si l’objet était de publier, sur le web, la liste de faits qui pourraient leur être reprochés.
“Nous pouvons également utiliser des informations sur vous que nous collectons auprès d’autres sources, y compris (sans que la liste soit exhaustive) dans les journaux et sur Internet, dans les blogs, les services de messagerie instantanée ou auprès des développeurs d’applis sur notre plateforme et d’autres utilisateurs de Facebook, ceci afin de compléter votre profil.”

L’Enisa recommande dès lors de :

  • ne surtout pas interdire l’utilisation des réseaux sociaux dans les établissements scolaires, ce qui serait contre-productif, inciterait les jeunes à ne pas s’exprimer sur les problèmes qu’ils y rencontrent, et aggraverait la fracture numérique qui les sépare de ces adultes qui ne prennent pas la peine d’apprendre à s’en servir ;
  • organiser des campagnes et réunions de sensibilisation ciblant les utilisateurs des réseaux sociaux, mais aussi leurs développeurs, et généraliser la mise en place de boutons incitant à dénoncer les abus ;
  • améliorer la transparence de ce qui est fait des données, et interdire l’apposition de tags et identifiants sur des photos sans le consentement de ceux qui y apparaissent ;
  • encourager l’adoption -par défaut- de méthodes d’identification et de contrôle d’accès plus sécurisées que celles actuellement en vigueur, développer des filtres contre le spam et le pishing, mettre en place des contre-mesures afin de limiter les risques d’espionnage industriel, offrir la possibilité d’effacer définitivement ses propres données, et promouvoir l’intéropérabilité et la portabilité des profils et réseaux, afin de rendre aux utilisateurs le contrôle de leurs préférences et profils ;
  • revoir le cadre légal, qui n’est pas tout à fait adapté : à partir de quand un contenu créé par un utilisateur peut-il être considéré comme inapproprié ou relevant du spam ? Quel est le statut des tags ajoutés par des tiers ? Quid de la notion de “donnée personnelle” dans les environnements, mi-privés mi-publics, des réseaux sociaux ?

En conclusion, l’Enisa avance que les réseaux sociaux créent de nouvelles opportunités qu’il serait dommage de laisser de côté. Non seulement parce qu’ils soulignent “la fin des médias passifs” et donnent plus de pouvoirs aux internautes, mais aussi parce qu’ils constituent, “fondamentalement, un système de gestion de l’identité” permettant, s’ils sont bien utilisés, d’améliorer la gestion de la vie privée.

Une vision peut-être un peu naïve, au vu de la banalisation croissante, depuis les débuts du web, des outils et services de surveillance, et de la facilité avec laquelle les internautes divulguent leurs données personnelles. Mais un appel des plus stimulants à travailler, très concrètement, et dès à présent, à la généralisation de standards de gestion de l’identité. Sous peine de “gueule de bois numérique“, sinon de coma identitaire.

PS : Les notes en aparté sont extraites de la traduction en français, par Jean Marie Le Ray, de passages des conditions d’utilisation de Facebook.

Posté le 25 novembre 2007

©© a-brest, article sous licence creative common info

Accès aux droits et inclusion numérique : venez découvrir les lieux ressources
Une carte collaborative des structures et services ressources en matière d’accès aux droits et d’inclusion numérique a été réalisée dans le cadre du Chantier multipartenarial et métropolitain initié en 2019. 400 (…)
Animacoop : inscriptions ouvertes pour la session de l’automne 2024 à Brest
Développez vos compétences collaboratives ! Vous souhaitez Développer des compétences collaboratives en associant : Compréhension des dynamiques de groupe Méthodes d’intelligence collective Émancipation de (…)
Déjà 84 PAPI (points d’accès publics à internet) sur la carte collaborative gogocarto
Le multimédia, outil valorisant de communication peut être un facteur de lien social et de reconquête de l’estime de soi. D’où le réseau de plus d’une centaine de Papi, points d’accès public à internet, au plus près (…)
La nouvelle édition du guide de la fabrication et de la fabrication numérique est disponible !
La nouvelle édition du guide est arrivée, et sera notamment distribuée à la Fête de la science dans le Fabuleux Laboratoire aux ateliers des Capucins du jeudi 7 au dimanche 10 octobre !!!! La ville de Brest et ses (…)
Daniel et Mylène Larvor, une contribution exceptionnelle sur l’histoire de Brest à travers 27 modélisations mises en partage sur wiki-brest
Une interview pour mettre en valeur des années de travail publiées sur wiki-brest parce que le partage leur est important. Une posture inspirante de contributions aux communs bien en phase avec cette écriture ouverte (…)
Premier pas vers une gouvernance contributive (1)
En développant une politique publique du numérique à Brest , l’intention première visait à réduire les inégalités, favoriser l’inclusion sociale et développer les usages. Et puis petit à petit, nous avons appris « (…)
Brest Creative : une soixantaine d’innovations sociales ouvertes publiées
Première étape de Brest Creative, réseau de l’innovation sociale ouverte, voici les fiches descriptives d’une soixantaine d’innovations sociales à Brest et au pays de Brest publiées sur la plate forme Imagination (…)
Anime-fr : Réseau francophone des animateurs de projets collaboratifs
Lorsque nous avions initié Intercooop aux ETES TIC de Rennes en 2007 nous exprimions l’envie d’interconnecter des réseaux coopératifs. Prolongement du groupe IC-Fing, duForum des usages coopératifs, des ateliers (…)