L’attaque de Facebook contre la recherche est le problème de tout le monde

L'attaque de Facebook contre la recherche est le problème de tout le monde

Facebook a récemment interdit les comptes de plusieurs chercheurs de l'Université de New York (NYU) qui dirigent Ad Observer , un projet de responsabilisation qui traque la désinformation payante, à partir de sa plateforme. Cela a des implications majeures : non seulement pour la transparence, mais pour l'autonomie des utilisateurs et la lutte pour des logiciels interopérables.

Ad Observer est une extension de navigateur gratuite/open source utilisée pour collecter des publicités Facebook pour un examen indépendant. Facebook s'est longtemps opposé au projet , mais sa dernière décision d'attaquer Laura Edelson et son équipe est un nouveau coup puissant à la transparence. Pire encore, Facebook a fait de cette intimidation une défense de la vie privée des utilisateurs. Ce « blanchiment de la vie privée » est une pratique dangereuse qui brouille les pistes quant à l'origine des véritables menaces à la vie privée. Et pour aggraver les choses, la société a doré de telles excuses avec des réclamations juridiquement indéfendables concernant l'applicabilité de ses conditions de service.

Prise dans son ensemble, la guerre sordide de Facebook contre Ad Observer et la responsabilité est une parfaite illustration de la façon dont l'entreprise déforme le récit autour des droits des utilisateurs. Facebook définit le conflit comme un conflit entre transparence et confidentialité, ce qui implique que le choix d'un utilisateur de partager des informations sur sa propre expérience sur la plate-forme est un risque de sécurité inacceptable. C'est malhonnête et faux.

Cette histoire est une parabole sur le besoin d'autonomie, de protection et de transparence des données, et sur la façon dont la compatibilité concurrentielle (AKA « comcom » ou « interopérabilité contradictoire ») devrait jouer un rôle dans leur sécurisation.

Qu'est-ce qu'Ad Observer ?

Les outils de ciblage publicitaire de Facebook sont au cœur de son activité, mais pour les utilisateurs de la plate-forme, ils sont entourés de secret. Facebook collecte des informations sur les utilisateurs à partir d'un large et croissant de sources, puis classe chaque utilisateur avec des centaines ou des milliers de balises en fonction de leurs intérêts ou de leur mode de vie perçus. La société vend ensuite la possibilité d'utiliser ces catégories pour atteindre les utilisateurs via des publicités micro-ciblées. Les catégories d'utilisateurs peuvent être étrangement spécifiques , couvrir des intérêts sensibles et être utilisées de manière discriminatoire , mais selon un sondage Pew de 2019, 74% des utilisateurs ne savaient même pas que ces catégories existaient .

Pour dévoiler comment les publicités politiques utilisent ce système, ProPublica a lancé son projet Political Ad Collector en 2017. Tout le monde pouvait participer en installant une extension de navigateur appelée « Ad Observer », qui copie (ou « gratte ») les publicités qu'ils voient ainsi que les informations fournies sous chaque annonce "Pourquoi est-ce que je vois cette annonce ?" relier. L'outil soumet ensuite ces informations aux chercheurs à l'origine du projet, qui, l'année dernière, était Cybersecurity for Democracy de NYU Engineering .

L'extension n'a jamais inclus d'informations d'identification personnelle, simplement des données sur la façon dont les annonceurs ciblent les utilisateurs. Dans l'ensemble, cependant, les informations partagées par des milliers d'utilisateurs d'Ad Observer ont révélé comment les annonceurs utilisent les outils de ciblage publicitaire basés sur la surveillance de la plate-forme.

Cette transparence améliorée est importante pour mieux comprendre comment la désinformation se propage en ligne et les propres pratiques de Facebook pour y remédier. Alors que Facebook affirme qu'il « n'autorise pas la désinformation dans [ses] publicités » , il a hésité à bloquer les fausses publicités politiques et continue de fournir des outils permettant aux intérêts marginaux de façonner le débat public et d' escroquer les utilisateurs . Par exemple, il a été découvert que deux groupes finançaient la majorité des publicités anti-vaccins sur la plateforme en 2019. Plus récemment, le US Surgeon General s'est prononcé sur le rôle de la plateforme dans la désinformation pendant la pandémie de COVID-19 – et cette semaine, Facebook a arrêté un Agence de publicité russe d'utiliser la plate-forme pour diffuser des informations erronées sur les vaccins COVID-19. Tout le monde , des sociétés pétrolières et gazières aux campagnes politiques, a utilisé Facebook pour pousser ses propres récits tordus et éroder le discours public.

Révéler les secrets de cet écosystème basé sur la surveillance à l'examen du public est la première étape vers la reconquête de notre discours public. La modération de contenu à grande échelle est notoirement difficile , et il n'est pas surprenant que Facebook ait échoué encore et encore . Mais avec les bons outils, les chercheurs, les journalistes et les membres du public peuvent surveiller eux-mêmes les publicités pour faire la lumière sur les campagnes de désinformation. L'année dernière, Ad Observer a fourni des informations importantes, notamment sur la manière dont les campagnes politiques et les grandes entreprises achètent le droit de propager des informations erronées sur la plate-forme.

Facebook gère sa propre « bibliothèque d'annonces » et son propre portail de recherche. Le premier s'est avéré peu fiable et difficile à utiliser sans offrir d'informations sur le ciblage en fonction des catégories d'utilisateurs ; ce dernier est enveloppé dans le secret et oblige les chercheurs à autoriser Facebook à supprimer leurs découvertes . Les attaques de Facebook contre l'équipe de recherche de NYU en disent long sur la véritable priorité de « vie privée » de l'entreprise : défendre le secret de ses clients payants – les opérateurs de l'ombre versant des millions dans des campagnes de désinformation payantes .

Ce n'est pas la première fois que Facebook tente d'écraser le projet Ad Observer. En janvier 2019, Facebook a apporté des modifications importantes au fonctionnement de son site Web, empêchant temporairement Ad Observer et d'autres outils de collecter des données sur la façon dont les publicités sont ciblées . Puis, à la veille des élections nationales américaines de 2020 très disputées , Facebook a envoyé une grave menace légale aux chercheurs de NYU, exigeant que le projet cesse ses opérations et supprime toutes les données collectées. Facebook a estimé que toute collecte de données par des « moyens automatisés » (comme le grattage Web) est contraire aux conditions d'utilisation du site. Mais derrière le jargon se cache la simple vérité que le« grattage » n'est pas différent du copier-coller d'un utilisateur. L'automatisation n'est ici qu'une question de commodité, sans qu'aucune information unique ou supplémentaire ne soit révélée. Toutes les données collectées par un plugin de navigateur sont déjà, de plein droit, disponibles pour l'utilisateur du navigateur. Le seul problème potentiel avec les plugins qui « grattent » les données est si cela se produit sans le consentement de l'utilisateur, ce qui n'a jamais été le cas avec Ad Observer.

Un autre problème que l' EFF a souligné à l'époque est que Facebook a des antécédents de réclamations juridiques douteuses selon lesquelles de telles violations des conditions de service sont des violations de la Loi sur la fraude et les abus informatiques (CFAA). Autrement dit, si vous copiez et collez le contenu de l'un des services de l'entreprise de manière automatisée (sans sa bénédiction), Facebook pense que vous commettez un crime fédéral. Si cette interprétation scandaleuse de la loi devait se maintenir, elle aurait un impact débilitant sur les efforts des journalistes, des chercheurs, des archivistes et des utilisateurs quotidiens. Heureusement, une décision récente de la Cour suprême des États-Unis a porté un coup à cette interprétation de la CFAA.

La dernière fois, l'attaque de Facebook contre Ad Observer a généré suffisamment de réactions publiques pour qu'il semble que Facebook allait faire la chose sensée et se retirer de son combat avec les chercheurs . La semaine dernière cependant, il s'est avéré que ce n'était pas le cas .

Les fausses justifications de Facebook

Le directeur de la gestion des produits de Facebook, Mike Clark, a publié un article de blog défendant la décision de l'entreprise d'interdire les chercheurs de NYU de la plate-forme. Le message de Clark reflétait le raisonnement proposé en octobre par Rob Leathern, alors président de l'intégrité de la publicité ( qui a depuis quitté pour Google ). Ces porte-parole de l'entreprise ont fait des déclarations trompeuses sur le risque pour la vie privée que représentait Ad Observer, puis ont utilisé ces diffamations pour accuser l'équipe de NYU d'avoir violé la vie privée des utilisateurs de Facebook. La seule chose qui était « violée » était le secret de Facebook, qui lui permettait de prétendre lutter contre la désinformation payante sans les soumettre à un examen public.

Le secret n'est pas la vie privée. Un secret est quelque chose que personne d'autre ne connaît. La confidentialité, c'est quand vous décidez qui connaît les informations vous concernant. Puisque les utilisateurs d'Ad Observer ont fait un choix éclairé pour partager les informations sur les publicités que Facebook leur a montrées, le projet est parfaitement compatible avec la vie privée. En fait, le projet illustre comment effectuer un partage sélectif des données pour des raisons d'intérêt public d'une manière qui respecte le consentement de l'utilisateur.

Il est clair qu'Ad Observer ne présente aucun risque de confidentialité pour ses utilisateurs. Des informations sur l'extension sont disponibles dans une FAQ et une politique de confidentialité , qui décrivent toutes deux de manière précise et complète le fonctionnement de l'outil. Mozilla a examiné en profondeur le code open source de l'extension de manière indépendante avant de le recommander aux utilisateurs. C'est quelque chose que Facebook lui-même aurait pu faire, s'il était vraiment inquiet des informations que le plugin recueillait.

Dans le message de Clark défendant la guerre de Facebook contre la responsabilité, il a affirmé que la société n'avait d'autre choix que de fermer Ad Observer, grâce à un « décret de consentement » avec la Federal Trade Commission (FTC) . Cette ordonnance imposée après le scandale Cambridge Analytica oblige l'entreprise à surveiller strictement les applications tierces sur la plateforme. Cette excuse n'était évidemment pas vraie, comme le montre clairement une lecture désinvolte du décret de consentement. S'il y avait le moindre doute, il a été effacé lorsque le directeur par intérim du Bureau de la protection des consommateurs de la FTC, Sam Levine, a publié une lettre ouverte à Mark Zuckerberg qualifiant cette invocation du décret de consentement de « trompeuse », ajoutant que rien dans l'ordre de la FTC n'interdit Facebook d'autoriser des recherches de bonne foi. Levine a ajouté : "[Nous] espérons que la société n'invoque pas la vie privée – encore moins l'ordonnance de consentement de la FTC – comme prétexte pour faire avancer d'autres objectifs." Cela a fait honte à Facebook dans une descente humiliante dans laquelle il a admis que le décret de consentement ne les obligeait pas à désactiver les comptes des chercheurs.

Le spin anti-Ad Observer de Facebook repose sur des tactiques de tromperie à la fois manifestes et implicites. Il ne s'agit pas seulement de fausses allégations concernant les commandes de la FTC – il existe également des travaux plus subtils, comme la publication d'un article de blog sur l'affaire intitulée « La recherche ne peut pas être la justification d'une atteinte à la vie privée des personnes », qui a invoqué le tristement célèbre scandale Cambridge Analytica de 2018. distinction entre les actions d'un groupe de désinformation sordide à but lucratif et celles d'un groupe de chercheurs universitaires en transparence.

Soyons clairs ; Cambridge Analytica n'a rien à voir avec Ad Observer. Cambridge Analytica a fait son sale boulot en trompant les utilisateurs, en les incitant à utiliser une application de « questionnaire de personnalité » qui siphonnait à la fois leurs données personnelles et celles de leurs « amis » Facebook, en utilisant une fonctionnalité fournie par l'API Facebook. Ces informations ont été conditionnées et vendues à des campagnes politiques en tant que rayon de contrôle mental dévastateur, alimenté par l'IA et du Big Data, et ont été largement utilisées lors de l' élection présidentielle américaine de 2016 . Cambridge Analytica a collecté ces données et a tenté de les armer en utilisant les propres outils de développement de Facebook (des outils qui étaient déjà connus pour divulguer des données ), sans le consentement significatif de l'utilisateur et sans examen public. Les pratiques gluantes de la firme Cambridge Analytica ne ressemblent en rien aux efforts des chercheurs de NYU, qui ont privilégié le consentement et la transparence dans tous les aspects de leur projet.

Un prétexte tueur d'innovation

Facebook a montré qu'on ne peut pas lui faire confiance pour présenter les faits sur Ad Observer de bonne foi. La société a confondu les tactiques trompeuses de Cambridge Analytica avec la recherche d'intérêt public de NYU ; il confond la violation de ses conditions d'utilisation avec la violation de la loi fédérale sur la cybersécurité ; et il confond la vie privée de ses utilisateurs avec le secret de ses annonceurs payants.

Mark Zuckerberg a affirmé qu'il soutenait une relation « fiduciaire de l'information » avec les utilisateurs. C'est l'idée que les entreprises devraient être obligées de protéger les informations des utilisateurs qu'elles collectent. Ce serait formidable, mais tous les fiduciaires ne sont pas égaux. Un système fiduciaire d'information solide protégerait le véritable contrôle des utilisateurs sur la façon dont ils partagent ces informations en premier lieu. Pour que Facebook soit une véritable fiduciaire de l'information, il faudrait qu'il protège les utilisateurs de la collecte de données inutiles par des premières parties comme Facebook lui-même. Au lieu de cela, Facebook dit qu'il a le devoir de protéger les données des utilisateurs contre les utilisateurs eux-mêmes.

Même certains Facebookers sont déçus par les mesures de confidentialité et d'anti-responsabilité de leur entreprise. Selon un rapport du New York Times , il y a un débat interne faisant rage sur la transparence après que Facebook a démantelé l'équipe responsable de son outil de traçage de contenu CrowdTangle. Selon les personnes interrogées, il existe une importante faction interne chez Facebook qui voit l'intérêt de partager le fonctionnement de la plate-forme (les verrues et tout), et un groupe de cadres supérieurs qui souhaitent enterrer ces informations. (Facebook le conteste.) Combinez cela avec l'attaque de Facebook contre la recherche publique, et vous obtenez une image d'une entreprise qui veut redorer sa réputation en cachant ses péchés aux milliards de personnes qui en dépendent sous couvert de confidentialité, au lieu de s'approprier ces erreurs et les réparer.

Le blanchiment de réputation de Facebook se répercute sur ses relations avec les développeurs d'applications. L'entreprise utilise régulièrement le nettoyage de la vie privée comme prétexte pour tuer des projets externes, une pratique si répandue qu'elle porte un nom spécial : « obtenir Sherlocked ». L'année dernière, l'EFF a pesé sur une autre affaire dans laquelle Facebook a abusé de la CFAA pour exiger que le "navigateur amical" cesse ses activités. Friendly permet aux utilisateurs de contrôler l'apparence de Facebook pendant qu'ils l'utilisent, et ne collecte aucune donnée utilisateur ni n'utilise l'API de Facebook. Néanmoins, la société a envoyé de graves menaces juridiques à ses développeurs, auxquelles l'EFF a répliqué dans une lettre qui a démoli les prétentions légales de la société. Ce modèle s'est à nouveau reproduit récemment avec l'application Instagram open source Barinsta, qui a reçu un avis de cessation et d'abstention de la part de la société.

Lorsque les développeurs s'opposent à Facebook, l'entreprise utilise tout son levier comme plate-forme pour répondre à fond. Facebook ne fait pas que tuer votre projet concurrent : il vous déplate-forme, vous accable de menaces juridiques et bloque tout votre matériel nécessitant une connexion Facebook .

Ce qu'il faut faire

Facebook est confronté à une grande quantité de réactions du public (encore une fois !). Plusieurs sénateurs américains ont envoyé à Zuckerberg une lettre lui demandant de clarifier les actions de l'entreprise. Plus de 200 universitaires ont signé une lettre de solidarité avec Laura Edelson et les autres chercheurs interdits. Un remède simple est clairement nécessaire : Facebook doit rétablir tous les comptes de l'équipe de recherche de NYU. La direction devrait également écouter les travailleurs de Facebook appelant à une plus grande transparence, et en outre mettre fin à toutes les menaces légales de la CFAA non seulement aux chercheurs , mais à toute personne accédant à leurs propres informations de manière automatisée.

Cette saga Ad Observer fournit encore plus de preuves que les utilisateurs ne peuvent pas faire confiance à Facebook pour agir à lui seul comme une plate-forme impartiale et responsable publiquement. C'est pourquoi nous avons besoin d'outils pour retirer ce choix des mains de Facebook. Ad Observer est un excellent exemple de compatibilité concurrentielle : l'interopérabilité à la base sans autorisation. Pour éviter une nouvelle utilisation abusive de la CFAA pour mettre fin à l'interopérabilité, les tribunaux et les législateurs doivent indiquer clairement que les lois anti-piratage ne s'appliquent pas à la compatibilité concurrentielle. De plus, des plateformes aussi grandes que Facebook devraient être obligées de relâcher leur emprise sur les informations des utilisateurs et d'ouvrir un accès automatisé aux données de base et utiles dont les utilisateurs et les concurrents ont besoin. Une législation comme la Loi sur l' ACCÈS ferait exactement cela, c'est pourquoi nous devons nous assurer qu'elle tient ses promesses .

Nous avons besoin de la capacité de modifier Facebook pour répondre à nos besoins, même lorsque la direction et les actionnaires de Facebook essaient de s'y opposer.


Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2021/08/facebooks-attack-research-everyones-problem le Thu, 12 Aug 2021 23:20:12 +0000.