Facebook a viré plusieurs employés qui ont espionné des utilisateurs

Mardi, Facebook a congédié un employé qui se serait servi de l’accès aux données que lui procuraient ses fonctions pour surveiller des femmes sur internet. Depuis, plusieurs ex-employés de la compagnie et d’autres sources nous ont parlé de certaines sections des politiques d’accès aux données du réseau social. On voit par exemple que les employés de l’équipe de sécurité informatique, dont faisait partie l’employé congédié, sont moins surveillés que les autres.

Ce congédiement illustre ce que la plupart des gens oublient quand ils utilisent les services ou le site web de la compagnie de la Silicon Valley : bien que des mesures soient en place pour prévenir les abus, des personnes ont le pouvoir d’accéder à de l’information que l’on juge privée, et il est possible qu’ils y jettent un œil à l’occasion.

L’employé congédié était un ingénieur en sécurité informatique, selon Jackie Stokes, fondatrice de Spyglass Security. C’est elle qui a signalé ce cas sur Twitter lundi. « Je sais qu’un ingénieur en sécurité informatique qui travaille actuellement pour Facebook utiliserait son accès privilégié pour traquer des femmes en ligne. J’ai des historiques de Tinder. Que dois-je faire de cette information? » demande-t-elle.

Elle a aussi tweeté une capture d’écran d’une conversation en ligne dans laquelle l’employé de Facebook en question se décrit lui-même à la blague comme un « stalker professionnel » grâce à ses fonctions chez Facebook.

VICE a promis à ses sources de protéger leur anonymat pour qu’ils soient libres de nous parler ouvertement des politiques et procédures de Facebook. Une de ces sources a notamment fait mention du strict accord de non-divulgation de la compagnie.

Un ex-employé de Facebook a dit qu’à son entrée en fonction, plusieurs employés avaient été virés pour avoir abusé de leur accès privilégié aux données personnelles des utilisateurs, par exemple pour surveiller leur ex.

Un autre a affirmé avoir été informé que trois employés avaient été congédiés pour utilisation inadéquate de données personnelles, l’un d’eux entre autres pour stalking. Sans surprise, Facebook n’a jamais divulgué ces incidents.

Comme dans bon nombre de compagnies, les employés disposent d’un accès aux données établi en fonction de leur rôle. Une source bien au fait de l’accès aux données accordé aux employés de Facebook nous a dit que différentes équipes ont différents niveaux d’accès, et qu’elles peuvent demander un plus grand accès au besoin. Elle a ajouté que l’équipe de sécurité informatique jouit d’une plus grande confiance que les autres services, et que, par conséquent, il est plus difficile de détecter les abus dans ce service.

Les sources n’ont pas précisé à quel type de données les différents groupes d’employés peuvent accéder, par exemple si certains employés peuvent lire des messages privés ou des publications réservées aux amis. Mais, en 2015, un ingénieur a accédé sans mot de passe au compte d’un producteur de musique et DJ finnois qui visitait les bureaux de Facebook à Los Angeles. En mars, un employé de Facebook a dit au Guardian qu’« en arrivant chez Facebook, on est surpris par le niveau de transparence. On vous confie beaucoup de choses auxquelles vous n’avez pas besoin d’avoir accès ».

Ce ne sont pas que les employés à plein temps qui ont accès aux données personnelles des utilisateurs. Bien que ce ne soit certainement pas les données les plus sensibles auxquelles ils peuvent accéder, un sous-traitant qui a travaillé pour la compagnie nous a dit avoir pu voir quels utilisateurs étaient les administrateurs de groupes Facebook. Il nous a montré qu’il peut voir ces données pour n’importe quel groupe en nous fournissant des données de plusieurs groupes tests qu’administre VICE.

Ce n’est cependant pas l’anarchie et les employés ne peuvent pas accéder à n’importe quoi sans conséquence, d’après l’un des ex-employés. Avant d’accéder à des renseignements privés d’un utilisateur, dont le registre de ses activités, il voyait une fenêtre surgir dans son écran lui demandant s’il y était autorisé et si son travail le nécessitait. « Ils vous le disent très clairement : si vous faites un pas de trop, vous aurez de gros ennuis », poursuit l’ex-employé.

Facebook a aussi conçu un système automatisé de détection et de prévention de l’abus, ajoute la compagnie. Les sources ont d’ailleurs vanté le mécanisme de sécurité mis en place. De plus, les ingénieurs reçoivent une formation sur la politique d’accès aux données à leur arrivée.

Dans un communiqué transmis à VICE, Alex Stamos, responsable de la sécurité de l’information chez Facebook, a écrit que « les employés qui enfreignent ces politiques sont congédiés. Il est important que les données personnelles soient en sécurité et restent confidentielles quand les gens utilisent Facebook. C’est pourquoi nous avons des politiques de contrôle strictes et des restrictions techniques pour que les employés n’accèdent qu’aux données dont ils ont besoin pour faire leur travail, par exemple pour corriger des bogues, répondre à des problèmes communiqués au service à la clientèle ou à des requêtes juridiques officielles. »

Facebook n’a pas répondu à une liste de questions portant entre autres sur le nombre ou le pourcentage d’employés ayant accès aux données personnelles.