TECHNOLOGIE Aux Etats-Unis, Facebook a fourni à la police des données montrant qu’une mère avait aidé sa fille à avorter dans l’Etat du Nebraska, ont révélé des médias américains. L’histoire a provoqué une vague d’indignation. L’affaire illustre la masse d’informations récoltées et transmises par les géants du numérique, sans chiffrement des données. Un problème qui nous concerne tous.

C’est une histoire sordide, imbibée du désespoir le plus profond. C’est aussi une illustration exemplaire de la masse de données titanesque récoltées par les géants du numérique. Des données dans ce cas précis non protégées par Meta (Facebook) et livrées à la police. Et cette histoire, qui vient de se passer au Nebraska, nous concerne de près. En Suisse comme aux EtatsUnis, Meta et Google livrent chaque jour des données sensibles d’utilisateurs aux autorités de poursuite pénale.

Treize ordinateurs et téléphones

L’histoire initiale, dévoilée cette semaine en détail par le média américain Vice, est sidérante. Une adolescente, Celeste Burgess (17 ans au moment des faits), et sa mère, Jessica Burgess, ont été inculpées de cinq crimes, dont un avortement après 20 semaines et le fait d’avoir tenté de cacher un cadavre. Sur la base de soupçons – dont l’origine n’a pas été révélée –, les autorités du Nebraska suspectaient les deux personnes d’avortement illégal. Dans cet Etat, la limite maximale pour avorter est de 20 semaines après la fécondation, à moins que la vie de la mère soit en danger.

Pour en savoir davantage, les autorités ont sorti les grands moyens, en saisissant 13 ordinateurs et smartphones, comprenant 24 gigaoctets de données, dont des images, des messages, et l’historique de recherches en ligne. Les enquêteurs ont exigé de Meta (Facebook) les données des comptes des deux suspectes. La multinationale a accepté, livrant par exemple cet échange entre la fille et sa mère, via Facebook Messenger:

« Celeste: On commence aujourd’hui?Jessica: On peut si tu veux, celui-là va arrêter les hormones.Celeste: OK.Jessica: Oui, la première pilule arrête les hormones et tu dois attendre 24 heures pour prendre l’autre. Celeste: OK. N’oublie pas que nous brûlons les preuves.»

Très vite, les regards se sont tournés vers la multinationale dirigée par Mark Zuckerberg, accusée de livrer beaucoup trop facilement à la police des données liées à des interruptions volontaires de grossesse. Meta s’est défendu: «Rien dans les mandats valides que nous avons reçus des forces de l’ordre locales au début du mois de juin, avant la décision de la Cour suprême, ne mentionnait l’avortement.» Sous-entendu: si des poursuites avaient été engagées sur la base d’un avortement jugé illégal, nous n’aurions pas transmis ces données.

Double erreur

Or il y a derrière cette réponse une double erreur. La première, c’est que Meta fait ainsi croire qu’il a le choix de livrer ou non des données à la police. C’est simplement faux. Si Meta – comme Google, Twitter, Apple ou encore Amazon – refuse, il s’expose à être traîné devant les tribunaux et à devoir payer une amende. Regardons les chiffres. Lors du deuxième semestre 2021 (dernière période pour laquelle les données sont disponibles), Meta a reçu 59 996 demandes des autorités américaines, dont 56 230 de la justice, portant sur 103 665 comptes d’utilisateur. En l’espace de quatre ans, ces demandes ont doublé, illustrant l’appétit grandissant des autorités pour ces données. Dans 88% des cas, Meta livre ces informations à la justice.

Et en Suisse? En l’espace de quatre ans, les demandes des autorités helvétiques ont été multipliées par près de six, pour atteindre 422 lors du deuxième semestre 2021, dont 359 émanant de la justice. Avec un taux d’acceptation de 60% de la part de Meta.

On en vient maintenant à la deuxième erreur de Meta. La multinationale possédant Facebook, Instagram et WhatsApp doit obtempérer à la justice, on l’a vu. Mais si les autorités l’inondent de requêtes sur des milliers d’utilisateurs, c’est précisément d’abord parce que Meta récolte autant de données sur ses utilisateurs. Et ensuite, parce qu’elle ne les protège pas.

Un choix à effectuer

Revenons ainsi au cas de Celeste Burgess et de sa mère, qui utilisaient notamment le service de chat Facebook Messenger. Si Meta a pu livrer des conversations entières, c’est parce que cette messagerie n’est pas chiffrée de bout en bout par défaut. Ce sont aux utilisateurs d’activer manuellement cette protection, qui rend les messages illisibles. Et sans doute très peu connaissent cette option. «Si votre plateforme permet aux utilisateurs de s’envoyer des messages, ceux-ci doivent être chiffrés de bout en bout par défaut. Instagram le fait. Twitter le fait. Telegram le fait», notait cette semaine sur Twitter Eva Galperin, directrice de la cybersécurité auprès de l’ONG californienne Electronic

En l’espace de quatre ans, les demandes des autorités helvétiques en matière de données ont été multipliées par près de six

Frontier Foundation. La spécialiste notait également ceci: «Meta a apporté un tas d’améliorations à Messenger cette semaine. Aucune d’entre elles n’est le cryptage de bout en bout par défaut, mais j’ai remarqué qu’ils disent qu’ils prévoient de l’avoir en 2023. J’espère que tout le monde maintiendra la pression sur Meta pour s’assurer que cela se produise.»

Le problème de fond, c’est donc l’absence de protection de nos messages par Meta. Très certainement pour des raisons commerciales, car des messages chiffrés sont a priori impossibles à analyser à des fins publicitaires. Et il en va de même pour les données de localisation récoltées par Google, elles aussi de plus en plus utilisées par la justice contre les utilisateurs de ces services. Entre protection accrue de leurs utilisateurs et volonté de monétiser leurs services, les deux multinationales doivent choisir.

■