L’accès abusif aux données utilisateur par les employés des médias sociaux n’a pas commencé avec les grandes plateformes numériques actuelles comme Facebook et SnapChat. Il existait déjà avec Myspace lorsque le réseau social, éclipsé aujourd’hui par ses concurrents, était encore le deuxième site Web le plus populaire aux États-Unis. Pendant l’apogée de Myspace, plusieurs de ses employés ont été pris en flagrant délit en train d’abuser d'un outil interne de l'entreprise pour espionner les utilisateurs, y compris leurs ex-partenaires, selon Motherboard qui cite cinq anciens employés de l’entreprise comme sources. Dans certains cas, les données des utilisateurs ont été consultées de manière malveillante. Motherboard rapporte que « Overlord » qui a été conçu à l'origine pour servir d’outil interne de modération de la plateforme et permettre à MySpace de se conformer aux demandes des organismes d'application de la loi était utilisé à des fins illégitimes et permettait aux employés de voir les mots de passe des utilisateurs et leurs messages, selon les anciens employés. « C'était fondamentalement une porte dérobée entière à la plateforme de Myspace », a déclaré à Motherborad l’un des anciens employés en faisant référence à Overlord.
Selon les sources d’information, l’affaire s’est produite il y une dizaine d’années. C’est lors de l'automne 2006 que le réseau social a enregistré son 100 millionième utilisateur, à une époque où Myspace était le deuxième site Web le plus populaire aux États-Unis, devant Google recherche. Ces genres d’abus existent encore aujourd’hui et l’on a souvent pensé qu’ils ont commencé avec l’abondance des données numériques au cours de ces dernières années et avec l’apparition des grandes plateformes numériques.
Et le fait que l'existence d'Overlord et les abus des employés n’avaient pas été signalés auparavant montre que depuis les premiers jours des médias sociaux, les données sensibles des utilisateurs et leur communication ont été vulnérables aux employés des grandes plateformes. L’on pourrait même dire que cette révélation qui intervient après que les médias sociaux plus récents comme Facebook et Snapchat ont également été confrontés à ces genres d’abus pourrait ne pas être la dernière.
En mai 2018, NBC News a rapporté qu’un ingénieur en sécurité de Facebook a abusé de son accès privilégié aux données privées des utilisateurs pour traquer une utilisatrice en ligne. Dans un message publié sur Twitter, Jackie Stokes, une consultante en cybersécurité, a publié une capture d'écran de la conversation avec l’utilisatrice sur Tinder dans laquelle on peut voir un participant écrire qu'il est « plus » qu'un analyste en sécurité. Décrivant son travail, il a dit que cela consiste à essayer de « comprendre qui sont les pirates dans la vraie vie », avant de se vanter d'être un « traqueur professionnel ». Stokes a dit qu'elle a déterminé que la personne était probablement employée par Facebook en croisant ses profils en ligne. Facebook a déclaré ensuite dans un communiqué que l’employé avait été licencié après une enquête sur l’affaire.
Des employés de Snapchat auraient également abusé de leurs accès privilégiés aux données des utilisateurs pour les espionner, a rapporté Motherboard en avril dernier. Des anciens employés et une mémoire cache des courriels internes de l'entreprise obtenue par Motherboard, décrivaient des outils internes (dont SnapLion) qui permettaient aux employés de Snapchat d'accéder aux données des utilisateurs, il y a plusieurs années. Parmi les données affectées par les accès illégitimes des employés figuraient parfois des informations de localisation, des clichés enregistrés et des informations personnelles telles que des numéros de téléphone et des adresses électroniques.
Hemanshu Nigam, qui a été chef de la sécurité de Myspace de 2006 à 2010, a déclaré lors d’une interview téléphonique : « Toutes les entreprises l'ont », en se référant à ces outils d'administration interne. « Que ce soit pour faire face à des abus, pour répondre à des demandes civiles ou d'application de la loi, ou pour gérer le compte d'un utilisateur parce qu'il soulève un problème ». M. Nigam a également dit qu'il a introduit une protection des données plus stricte après avoir rejoint Myspace.
Même si ces outils internes d’administration sont destinés à des utilisations légitimes au sein des plateformes de médias sociaux, ils peuvent servir pour des intérêts personnels aux initiés qui en abusent. L’une des sources de Motherboard a dit que « L'outil a été utilisé pour accéder aux identifiants de connexion d'un petit ami ou d'une petite amie », même si une autre source n’a pas confirmé. Mais selon le rapport, la situation a changé et ces employés qui abusent de leur accès privilégié pouvaient dorénavant être identifiés.
Un ancien employé, expliquant comment Myspace pouvait identifier les employés qui abusaient de leur accès Overlord, a dit que les responsables ont pu croiser les agents avec les accès privilégiés avec leurs amis sur leur page Myspace pour voir s'ils cherchaient à accéder aux contacts de leurs ex-petits amis. Selon Motherboard, il est rare aujourd'hui qu'un outil d'administration puisse accéder à la version en texte clair du mot de passe d'un utilisateur. Généralement, les mots de passe sont stockés dans un hachage et plus maintenant en version originale.
Un porte-parole de Myspace a dit à Motherboard : « L'utilisation abusive des données des utilisateurs entraînera le licenciement de l'employé ». Il ajouté qu'aujourd'hui, l'accès est limité à un « très petit nombre d'employés », et que tous les accès sont enregistrés et examinés. Selon Motherboard, plusieurs anciens employés ont insisté sur les protections mises en place pour atténuer les abus d'initiés. Un autre ancien employé a dit que Myspace a « absolument » averti les employés d'abuser d'Overlord.
A propos des nouvelles mesures prévues contre les abus d’accès privilégié aux outils d’administration, M. Nigam, a déclaré :
« Il y avait des contrôles d'accès stricts, une formation avant d'être autorisé à utiliser les outils, une surveillance de la gestion sur la façon dont les outils étaient utilisés et une politique stricte d'aucune seconde chance selon laquelle si vous violiez l'une des capacités qui vous a été données, vous étiez retirés non seulement de votre poste, mais de la société dans son ensemble ».
Mais malgré ces mesures strictes, les anciens employés ont dit que l'outil était toujours utilisé à mauvais escient par des employés privilégiés. Wendy Nather, responsable du service consultatif des chefs de la sécurité de l'information chez Duo Security, a déclaré lors d'un entretien téléphonique avec Motherboard :
« Tout outil écrit dans un but précis et très privilégié peut être utilisé à mauvais escient ». « C’est la responsabilité du concepteur et du développeur de mettre en place des contrôles quand il est construit pour supposer qu'il pourrait y avoir des abus, et de vérifier cela », a-t-il ajouté.
Mais, selon Motherboard, l’industrie a muri et les plateformes numériques sont passées à une autre phase dans la protection des données privées des utilisateurs contre les accès non autorisés des initiés. A ce propos, l’ancien chef de la sécurité de Myspace a déclaré :
« Il y a dix ans ou plus, nous essayions de trouver la meilleure façon de gérer non seulement la puissance et les capacités dont nous disposions, mais aussi la manière de l'utiliser dans le respect de la vie privée et de la sécurité de nos utilisateurs ». « Aujourd'hui, l'industrie est à un point où tous ceux d'entre nous qui sont dans ce métier regardent quelqu'un qui ne fait pas ce genre de choses comme : vous devez être un idiot, c'est si évident », a ajouté M. Nigam.
Nigam a également dit qu'aujourd'hui, avec la quantité et le nombre beaucoup plus important de données et de sources de données, la responsabilité des entreprises est beaucoup plus grande parce que l'impact d'une mauvaise utilisation est beaucoup plus grand.
Toutefois, nous assistons encore aujourd’hui à des dérives de la part de ces plateformes numériques modernes qui continuent d’exposer la vie privée des utilisateurs. Selon un rapport de Krebsonsecurity, une série d’erreurs a conduit certaines applications conçues par des employés de Facebook à stocker les mots de passe des utilisateurs de manière non sécurisée (en clair)sur les serveurs du réseau social, les rendant accessibles à des milliers d’employés de Facebook pendant des années. Facebook a informé qu’un audit de sécurité a permis d’identifier le problème en janvier, et qu’il a réparé l’erreur qui a affecté entre 200 millions et 600 millions utilisateurs du réseau social.
Un autre réseau social, Knuddels.de, s’est vu imposer une amende de 20 000 euros par la Commission européenne en novembre 2018 pour avoir violé l’obligation de garantir la sécurité des données à caractère personnel, car il stockait des mots de passe des utilisateurs en clair.
Avec la taille immense des réseaux sociaux aujourd’hui, rien ne garantit que les utilisateurs bénéficient vraiment d’une réelle défense contre l'espionnage des employés de ces entreprises. Et plus ce genre d'affaires est publié, plus les utilisateurs doivent se rendre compte qu'il y a toujours un risque avec les données personnelles.
Source : Motherboard
Et vous ?
Qu’en pensez-vous ? Pensez-vous que les réseaux sociaux peuvent empêcher définitivement leurs employés d’espionner les utilisateurs ? Avez-vous connu un autre cas d’abus de privilège d’accès en dehors des réseaux sociaux ?Lire aussi
Des employés de Snapchat auraient abusé de leurs accès privilégiés aux données des utilisateurs pour les espionner, d'après des sources Facebook licencie un ingénieur qui aurait abusé de son accès privilégié aux données privées des utilisateurs, pour traquer les femmes en ligne RGPD : le réseau social allemand Knuddels.de condamné à payer une amende de 20 000 €, pour avoir stocké des mots de passe en clair GitHub découvre un bogue qui expose certains mots de passe en texte clair, le problème viendrait de la fonction de réinitialisation du mot de passe Facebook a stocké des centaines de millions de mots de passe d'utilisateurs en clair, dans des serveurs internes accessibles à ses employés 
