Sur une période de moins de 24h (tout va plus vite sur le web), un épisode a marqué la blogosphère hier que l’on pourrait qualifier de ScobleGate en relation bien sûr avec Robert Scoble le champion international des blogs geeks qui teste tout et invite ses milliers d’amis sur toute les plateformes web nouvelles générations. Il a tenté hier une nouvelle expérience sur Facebook que l’on pourrait presque qualifier de suicidaire au regarde de l’importance que Facebook représentait dans la vie de ce monsieur. Je vous la fait courte. En gros Robert Scoble a essayé d’exporter les données des quelques milliers d’amis de Facebook hors de Facebook et ce à l’aide d’un script mysterieux. Cela est contraire aux conditions générales de Facebook qui ne permet pas la manipulation de masse des données personnelles (comme d’autres plaeformes) et voilà que Facebook desactive son compte.
Et c’est Là que cela devient intéressant. Bien entendu Scoble publie une note sur le sujet. La blogsophère s’enflamme de même que la Twittosphère et la SeesmicSphère (j’ai moi même réagi à cela). Tous réclament la libération de “Robert Scoble” et une pétition est même créée sur Facebook pour que son compte soit rétabli. Quelques heures plus tard Facebook réactive le compte de Scoble en expliquant qu’il s’agit d’une procédure standard de sécurité et que son compte est réouvert du moment que ce script n’est pas réutilisé
Alors quel est ce script mystérieux? et qui l’a conçu? Il s’agit en fait d’une nouvelle fonctionnalité en beta hyper privée de Plaxo Pusle permettant d’identifier et synchroniser vos contacts Facebook avec ceux de Plaxo. Cela fonctionne ainsi vous déclarez vos identifiants facebook à plaxo qui scanne alors votre compte et le profil de vos amis et rapatrie les informations sur Facebook. Cela aurait été possible en utilisant l’API de Facebook (ce que fait déjà FriendCSV) mais celle ci ne permet pas l’export de données. En fait Plaxo utilise la technique appelée screenscraping qui scanne un écran à la recherche de données structurées clefs et ont développé une technologie de reconnaissance de caractères pour identifier les emails qui ne sont que des images sur Facebook.
Cette technologie est bien entendue problèmatique car elle permet l’export de données des utilisateurs hors de Facebook sans en demander l’accord aux utilisateurs. J’ai peut être accepté d’être l’ami de Robert Scoble sur Facebook mais je ne lui ai pas donnée la permission d’exporter mes données hors de Facebook quelqu’en soit l’usage (Loren Feldman l’accuse d’être un espion industriel). Plaxo a fait un faux mouvement à mon sens. D’abord parce que ce sont ces utilisateurs qui payent le prix de cette fonctionnalité et pas eux mais surtout parce qu’en testant cela sans engager de discussions préalables avec Facebook ils se sont placés dans la court des pirates de données. Or, le contrôle des données personnnelles est un point crucial avec lequel on ne joue pas à la légère. Facebook a eu raison de bloquer Robert Scoble et raison de lui rétablir son compte. Plaxo a eu tord de procéder ainsi contre Facebook.
Conclusions: ne jouez pas avec les données de Facebook. Si vous envisagez dans vos projets de startup un export de données parlez avec Facebook avant. Jetez au passage un oeil à la fantastique intégration de iLike et Flixster dans Facebook et la manière dont ils synchronisent vos comptes. Cet affaire relance le débat de la propriété des données personnelles. A qui appartiennent elles? A Facebook? A vous ? A vos amis? quelles sont les règles à instaurer et quels contrôles doivent être donnés. Il est vrai que nous aimerions aussi utiliser nos données en dehors de Facebook; mais comment? Des questions complexes. Un problème qui n’est qu’embryonnaire pour le moment
C’est tout à fait ça et comme le fait remarquer Jeff Jarvis ce matin, le nombre d’amis de Scobble dans Facebook a baissé …
C’est la fameuse contradiction de Facebook a mon sens.
Je pense que Microsoft l’a valorisé autant dans l’espoir qu’un jour on puisse légalement exporter certaines donnees utilisateurs.
Je pense que le risque existe pour les entreprises qui veulent tirer le maximum d’une intégration facebook dans leur projet, mais il est à mon sens encore plus dangereux de faire confiance à une seule entité (en l’occurence, Facebook) pour garantir la confidentialité de ses données.
Chaque système d’information a des failles de sécurité, et la protection par habilitation déclarative (j’autorise tels personnes à accéder à telles données) est insuffisante pour un système “ouvert” avec des APIs. Le système est d’autant plus fragile que :
- l’intrusion semble à la portée d’un pirate
- la tentation est forte pour un pirate voulant exploiter une base “auto-qualifiée” et “hyper-qualifiée” de millions de personnes (d’un point de vue marketing, le bonheur !) à des fins commerciales (ou crapuleuses).
On peut facilement imaginer que si Plaxo a réussi à accéder à des informations auxquelles elle n’aurait pas du accéder, certains pirates se développeront des scripts en se moquant bien du caractère légal ou pas de leur intrusion. Qui ira les chercher au fin fond de leur contrée ?
Les Exhibitionnistes Sociaux doivent savoir que la conclusion du débat sur la propriété des informations limitera peut-être l’exploitation de leurs données par des firmes “propres” mais qu’à partir du moment où l’information est sur internet, elle est (ou sera) finalement probablement publique…
“la manière dont ils synchronisent vos comptent”
Aïe ça me pique les yeux ^^
ça me rappelle l’éternel combat des paparazzis : “vous faites un metier public donc on a le droit de dévoiler votre vie”. Tout le monde devient maintenant confronté à ce problème de vie privée publique (et l’on y plonge la tête la première…), et le grand satan voleur de données microsoft n’est finalement pas si terrible en comparaison avec ses dauphins du web… ahhh le “tout-gratuit”…
Chez Spokeo, ils ont choisi de ne pas récupérer toutes les données facebook.
Et on comprend bien pourquoi !
tu parles aussi de scan de d’écran et plus particulièrement des reconnaissances d’email dans les images… si j’ai bien compris…
cette technologie n’aurait pas intérêt à tomber dans les mains des spammeurs si je comprend bien…
de plus, comment plaxo peut-il être autorisé a développé une techno qui s’utilise avec Facebook (qui ne leur appartient pas…)
L’extraction d’information dans des écrans pour les exploiter ailleurs que sur le système d’origine, ça date des années 80 avec des logiciels appelés “émulateurs 3270″ : ces logiciels émulaient les terminaux IBM 3270 connectés aux gros systèmes pour exécuter des transactions ramenant des données, et des outils de scripting + description de structure d’écran permettaient d’extraire les données utiles pour leur appliquer un traitement… C’est ainsi que les premiers serveurs Minitel de banque online sous Unix pouvaient aller chercher votre solde de compte et vos dernières opérations pour vous les fournir sur un Minitel.
Interpréter le contenu d’une page HTML pour en extraire des données, c’est d’autant moins compliqué que le site à partir duquel on veut extraire les données a un mode de présentation des infos simple, clair et structuré. Regardez le code HTMl d’une page facebook et vous verrez…
De même il faut bien être conscient du fait qu’aujourd’hui toute musique jouée par la carte son d’un PC peut être capturée et stockée en numérique, ce qui rend illusoire toute tentative de faire des plateformes de diffusion qui sécurisent les morceaux joués, fût-ce en streaming…
Facebook se fait de plus en plus peur à lui même.
Dans mon message d’hier, je parlais des risques de voir vos informations pratir entre de mauvaises mains. Ce matin, je lis dans 01net http://www.01net.com/editorial/368738/les-utilisateurs-de-facebook-victimes-d-un-nouveau-type-d-attaque/ que le widget bien nommé SecretCrush a réussi “à capter en peu de temps 3% des utilisateurs de Facebook, ce qui représente plus d’un million de personnes”.
Les plateformes ouvertes passeront peut-être un jour par une labellisation des plugins/widgets ?