User tracking et Facebook : l’ère de la surveillance globale

L’expression la plus appropriée que l’on peut lui trouver en français est le « suivi des utilisateurs ». Mais elle perd alors de son sens, car elle ne traduit pas la particularité avec laquelle les utilisateurs sont suivis. Il s’agit d’identifier et de caractériser un utilisateur et de quantifier toutes ses interactions face à un point de vente, un site web ou encore une application mobile. Cela permet d’optimiser un contenu pour des utilisateurs, généralement dans un objectif d’améliorer les ventes. Mais pour comprendre plus profondément ce qu’est l’user tracking, nous allons faire un peu d’histoire et parler de la cybernétique (1).

 

facebook-2

 

La cybernétique est avant tout un courant de pensée des années 40 du monde scientifique qui annoncera la naissance des sciences cognitives modernes et de l’intelligence artificielle. C’est la science du contrôle des mécanismes ; appliquée à l’homme il s’agit de le considérer comme une machine complexe et d’étudier et de contrôler sa psyché, ses comportements de la même manière que l’on étudie et contrôle un système mécanique.

 

par Paul Irolla
Laboratoire (C + V) O – Laboratoire de Cryptologie et Virologie Opérationnelles – Esiea

 

 

C’est l’aboutissement logique de la révolution industrielle du XIXe où la machine est l’espoir du développement des sociétés, et du taylorisme qui vient placer l’homme au sein d’un système complexe en tant que simple rouage, où la question est comment organiser ces rouages de la meilleure manière afin de tirer le maximum du système.

Il est donc naturel vu le contexte de l’époque de penser l’homme comme un système d’assemblage d’éléments purement mécaniques et de fait ses agissements sont intégralement déterminés par l’état de ce système. Si son comportement est déterminé, alors on peut le prédire et donc le contrôler.
La cybernétique donne des méthodes pratiques pour étudier les comportements humains afin de réaliser des modèles.

 

user tracking 1

 

Tout ingénieur connaît ce schéma sous le nom de système asservi par correction de l’erreur. Sauf qu’ici c’est l’homme qui est asservi par la correction de son erreur, qui est la différence entre son comportement actuel et le comportement voulu. Cela n’a rien à voir avec l’apprentissage, mais cela a trait avec la manipulation, car il s’agit de modifier les « Entrées » c’est-à-dire l’environnement, une disposition, une image montrée, un message transmis, etc. L’apprentissage lui est la modification du système lui-même et nécessite un consentement.

La cybernétique appliquée à l’homme est la science de la manipulation humaine. Le cas d’école parfait de sa mise en œuvre est le supermarché qui est pensé jusqu’au moindre détail afin que le citoyen, devenu consommateur, achète un maximum de produits, dispensables si possible. Quelques exemples (des gouttes d’eau sur l’ensemble de l’ingénierie mise en œuvre) :

– L’entrée du supermarché est sur la droite de sorte que l’on soit obligé de suivre un chemin où l’on tourne globalement dans le sens antihoraire. La grande majorité de la population est droitière (environ 90 % quel que soit le pays) et aura tendance à dévier à gauche s’il marche tout droit, de plus un droitier préférera tourner à gauche si on lui demande de tourner sur lui-même. Il s’agit donc du sens naturel du consommateur, qui lui sera plus confortable.

 

 

L’user tracking est le nerf de la guerre cybernétique

 

 

Il est intéressant de faire un parallèle provocateur avec le travail de Temple Grandin, docteur en sciences animales (2), qui a révolutionné l’élevage de bœufs aux états unis. Sa contribution se situe dans la gestion du stress de l’animal : elle a par exemple conçu un parcours sinueux qui mène les bêtes à l’abattoir. Le fait de tourner sans voir la destination finale diminue le stress de l’animal, qui a l’impression de revenir sur ses pas. Le résultat est que le bétail avance sans heurt ou congestion ; ce qui nécessitait auparavant une violence excessive pour mener le troupeau vers sa fin.

– Les denrées indispensables comme l’eau, le lait (ou encore l’alcool) seront toujours au plus loin de l’entrée du magasin afin que le consommateur soit obligé de traverser tous les rayons et donc puisse être soumis à la tentation d’acheter quelque chose d’autre que ce qu’il avait prévu.

– Le nombre d’agents de caisse est optimisé afin qu’il y ait toujours un minimum d’attente à la caisse, même s’il y a peu de clients. La queue est ainsi rentabilisée grâce à des produits prévus pour faire passer le temps comme des chewing-gums et des magazines people.

– Les cartes de fidélité, quelle belle invention ! En échange de quelques bons d’achat, vous donnez au supermarché votre mail pour qu’il vous envoie des pubs et votre identité afin qu’il puisse vous associer à vos statistiques et au détail de votre consommation afin d’optimiser leurs ventes.

Revenons maintenant au sujet principal. L’user tracking est le nerf de la guerre cybernétique, c’est l’ensemble des procédures mises en œuvre pour récupérer des informations personnelles sur les consommateurs et leurs habitudes. Ces informations permettent de classifier les consommateurs afin de leur proposer des produits qu’ils seront plus susceptibles d’acheter. De plus cela permet de mesurer le changement des comportements face à un changement d’environnement afin d’en tirer des conclusions sur la psychologie humaine – en clair tout ce que vous ferez sera utilisé contre vous.

Les applications mobiles donnent une opportunité nouvelle pour toutes les sociétés dont le cœur de la rentabilité est la publicité (Google, Facebook). En effet là où le consommateur utilisait un service en ligne dont l’exécution est limitée à l’enceinte du navigateur, il utilise maintenant une application qui s’exécute comme un programme sur une machine qui contient bien plus d’informations personnelles qu’auparavant. Il suffit de demander des permissions.

Qui refuserait d’utiliser l’application Facebook à cause des permissions qu’elle demande ? Pratiquement personne. Ce chantage social implicite est redoutable.

Son utilisation dans Facebook
« What kinds of information do we collect?
Things you do and information you provide.
Things others do and information they provide.
Your networks and connections.
Information about payments.
Device information.
Information from websites and apps that use our Services.
Information from third-party partners.
Companies owned by Facebook. »

source : https://www.facebook.com/about/privacy/

 

Les conditions d’utilisation de Facebook donnent une liste présentée comme exhaustive. Nous nous intéresserons qu’à une toute petite partie de ce qui est utilisé et uniquement sur mobile.
L’expérience qui a été menée (3) pour savoir ce qui est communiqué à Facebook est simple : l’application est installée puis elle est connectée à mon compte personnel. Ensuite les communications réseaux sont analysées avec un outil de man-in-the-middle https, Panoptes, développé par mes soins.

 

user tracking 2

 

Voici une infime partie des données brutes (déchiffrées) qui sont envoyées à Facebook lors d’une navigation simple sur le compte. On voit bien que ces informations ne sont pas directement compréhensibles. Cela nécessite une étape de rétro-ingénierie supplémentaire qui ne sera pas détaillée ici (pour plus d’informations, voir Filiol, Irolla, (In)Security of Mobile Banking…and of Other Mobile Apps, BlackHat Asia 2015).

 

Lorsque l’on liste l’ensemble des variables avec leurs valeurs, on se rend compte que l’intégralité des paramètres du téléphone disponibles est envoyée. C’est à dire : les informations système (bootloader, device model, constructeur, hardware, numéros de série, ROM, version du kernel, variables d’environnement, file descriptors ouverts, liste des applications systèmes, espace disponible et maximal du disque dur, etc.), les paramètres de sécurité (par exemple : utilisation d’un schéma ou mot de passe, taille du schéma), les paramètres de localisation, paramètres des applications, paramètres des connexions Wi-Fi, paramètres de la caméra. Cette liste ne peut pas être exhaustive.

Les indiscrétions de l’application vont jusqu’à récupérer les sons et musiques utilisés pour le réveil et les notifications ainsi que le niveau de batterie actuel. Il y a également bien entendu les habituelles informations d’user tracking qui sont un timestamp (c. a.d. une date précise) associé à chaque action effectuée sur l’application.

Facebook est l’application qui a exploité au maximum les possibilités d’user tracking, au point que la limite avec l’espionnage soit quasiment franchie. Maintenant on peut se demander pourquoi ils récupèrent autant d’informations et en quoi cela leur est utile de connaître par exemple la sonnerie avec laquelle on se réveille ?

En fait ces informations vont permettre à des algorithmes d’intelligence artificielle (du type réseau de neurones, clusters ou encore machine à vecteur de support et plus généralement tous les algorithmes mis en œuvre par le « big data ») de classifier les consommateurs ou plus littéralement de les disséquer. Chaque élément de personnalisation va leur permettre de nous différencier, mais aussi et c’est le plus grave, de prédire ce que nous sommes susceptibles de faire ou de penser.

 

Des enjeux incompris

«  Je n’ai rien à cacher / Je n’ai rien à me reprocher / Je ne suis personne,

Donc

Je n’ai rien à craindre / Ce n’est pas important. »

 

 

Face au constat de la surveillance ou de l’espionnage de notre utilisation d’internet, la majorité des gens – ou en tout cas la plupart que je rencontre – tiennent ce genre de discours lorsque le problème leur est posé. Je n’ai pas d’importance donc le fait que toutes les actions que je fais sur internet soient quantifiées n’est pas important. Il y a beaucoup d’arguments que je veux opposer à ce discours qui est en fait une défense face au constat de l’impuissance.

Déjà tout le monde a quelque chose à cacher, dans le sens où si la vie privée n’a pas d’importance alors autant inviter une télé-réalité à nous filmer h24, qui retransmet en live notre vie quotidienne dans sa pure réalité. On ne le ressent pas comme cela parce que la caméra est invisible, mais c’est exactement ce à quoi nous sommes confrontés.

L’user tracking est utilisé par les entreprises pour faire de l’argent maintenant, mais il sera utilisé demain pour faire des profils d’embauches, pour détecter des dissidents politiques ou encore pour influencer les votes électoraux. Ce n’est qu’une question de temps si ce genre de projets n’est pas déjà dans la tête des élites de sociétés comme Facebook ou Google. Les recherches internet ou l’utilisation d’une machine personnelle ne révèlent pas seulement des centres d’intérêt, mais aussi notre manière de penser, nos opinions, nos désirs et nos aspirations.

 

C’est un sujet rarement évoqué, et encore moins dans cette perspective, mais une de ces facettes est utilisée dans le film d’anticipation Ex Machina (4). Pour ceux qui ne l’auraient pas vu, vous pouvez passer ce paragraphe si vous ne voulez pas que l’intrigue soit dévoilée. BlueBook le plus important moteur de recherche du monde (=Google), invite un brillant développeur afin de déterminer si une IA nommé Ava dans un corps mécanique, a une conscience ou non. Ce que l’intéressé découvre c’est que cet androïde a été conçu physiquement sur son profil pornographique et mentalement sur son profil moral et sur ses aspirations, de manière à le manipuler. Cela a été possible grâce aux données collectées par BlueBook.

 

Maintenant, imaginons un univers parallèle dans une société imaginaire où des mesures sécuritaires sont en vigueur pour protéger les citoyens contre des ennemis de la république dénommés anarchiste (mot pouvant être remplacé par une flopée de mots en -iste).
Une partie de ces mesures est la surveillance de l’utilisation d’internet grâce à l’user tracking, la surveillance de la consommation électrique (coucou Linky et son petit frère Gaspar) et la surveillance des correspondances. Un monde où une simple combinaison de recherche web ou des mots clefs dans une lettre pourraient faire inscrire dans une liste d’anarchistes potentiels. Les personnes inscrites dans cette liste seraient bridées dans leur vie quotidienne. Ils subiraient 10 fois plus de contrôles policiers, perdraient leur travail, une simple mesure administrative prendrait 6 mois ou encore assignation à résidence.
De plus si une de vos connaissances est par hasard sur cette liste, vous vous y retrouvez également par association. Cela permettrait à un pouvoir de tuer dans l’œuf toute contestation. Voilà comment pourrait être utilisé l’user tracking. Sommes-nous si loin de la science-fiction ?

 

Pourquoi la majorité des personnes ne perçoivent-elles pas ces dangers ? Premièrement l’informatique est peut-être pour eux un sujet obscur et immatériel. Comment mes actions « virtuelles » pourraient-elles avoir des impacts négatifs réels sur ma vie ? Deuxièmement ils se pensent sans importance, malgré que l’user tracking démontre exactement l’inverse.

Arrêter la machine semble impossible, mais être conscient de son existence est déjà le premier pas. Il existe certaines solutions comme Qwant, DuckDuckGo, Adblock ou encore Ghostery qui règlent une partie des problèmes. Cependant, la meilleure défense étant l’attaque, l’obfuscation paraît une des réponses sur le long terme. Il s’agit d’inonder les serveurs de tracking de fausses informations pour être l’aiguille dans la botte de foin. C’est ce que fait l’extension pour navigateur TrackMeNot, en envoyant de fausses requêtes web automatiquement. Massivement utilisé, ce genre de solutions pourrait mettre à mal le système de l’user tracking, car cela toucherait à sa rentabilité.

 

 

Références

1 – Wiener, 1948, Cybernetics, or Control and Communication in the Animal and the Machine
2 – Grandin, 1980, Designs and specifications for livestock handling equipment in slaughter plants, lnt J Stud Anim Prob 1:178-200
3 – Filiol, Irolla, 2015, (In)Security of Mobile Banking…and of Other Mobile Apps, BlackHat Asia 2015
4 – Alex Garland, 2015, Ex Machina

 

 

 

Partager :

Dans la même catégorie

Publié le : 28/03/2024

7 bonnes pratiques que les petites entreprises peuvent suivre pour se protéger contre les cyberattaques 

Découvrir
Publié le : 26/03/2024

La gestion post-crise : évaluer, apprendre et améliorer le PRA

Découvrir
Publié le : 26/03/2024

Pourquoi un audit de cybersécurité est-il essentiel pour toutes les entreprises ?

Découvrir
error: Le contenu est protégé !!