Accueil > Portraits > Joe Sullivan, le super flic de Facebook


Joe Sullivan, le super flic de Facebook



jeudi 5 avril 2012,


Contribution


Communication Cyber Culture Médias

Si Facebook était un pays, ce serait le troisième au monde en terme de population, et Joe Sullivan en serait le ministre de l’Intérieur.

Son titre exact est Directeur de la Sécurité. Parmi les « terroristes » qu’il combat : le « Koobface gang », un quintette de Russes ayant développé un ver informatique qui a transformé les ordinateurs de Facebookeurs en botnet ; les spammeurs qui ont inondé les utilisateurs avec des images pornographiques et violentes en décembre dernier ; des scammeurs qui piègent les utilisateurs de Facebook avec des liens menant à des questionnaires les rémunérant en affiliation ; des pédophiles qui utilisent le site pour entrer en contact avec des mineurs ; des voleurs de contenu qui récupèrent en masse les précieuses informations personnelles des utilisateurs.

Ces voyous comptent parmi eux les utilisateurs d’applications malignes, les hackers et un diffuseur de porno amateur qui lie des pages de profils à des photos de nu mises en lignes par des ex en mal de vengeance. Ce qui a pour conséquence de faciliter les contacts, le harcèlement et le « poke » intempestif de ces nouvelles stars involontaires du X.

Les détails intimes que Facebook détient à propos de ses utilisateurs le rend aussi attractif pour la police que pour les criminels. Au nombre des responsabilités de Sullivan figurent les décisions quotidiennes quant à la quantité de données personnelles qu’il peut transmettre, à leur demande, aux services de police. Et, en tant que « ministre de l’Intérieur » d’une « nation numérique », Sullivan et son équipe surveillent activement le site à la recherche de données d’utilisateurs qui pourraient intéresser les autorités. Pour autant, assure-t-il :

« nous avons plutôt tendance à ne pas partager [vos données], et nous n’avons pas eu peur de mener quelques batailles durant toutes ces années. »

Les utilisateurs ont sans doute des droits constitutionnels face aux perquisitions abusives du gouvernement, mais seule ses imposantes Conditions Générales d’Utilisation font office de Constitution sur Facebook. Et leur rôle est avant tout d’encadrer les utilisateurs, en interdisant – par exemple – l’intimidation, la création de comptes factices ou le téléchargement d’images violentes ou à caractère sexuel, tout en rappelant les droits de Facebook sur la propriété intellectuelle du contenu mis en ligne sur le site.

En revanche, elles ne précisent pas dans quelle mesure Facebook peut se plonger dans ces informations à des fins de contrôle ou pour les transférer aux autorités.

Facebook devrait-il notifier leur droits [Miranda warning] aux utilisateurs avant qu’ils ne s’inscrivent – leur dire que tout ce qu’ils pourront poster sur le site pourra être et sera retenu contre eux ? L’entreprise donne aux représentants des forces de police, sur simple requête accompagnée d’une assignation, des informations de base sur ses membres : nom d’utilisateur, adresse e-mail et adresse IP (qui révèle leur localisation géographique approximative). Sullivan assure que tout le reste – photos, mise à jour de statut Facebook, messages privés, liste d’amis, appartenance à des groupes, pokes et autres – nécessite une ordonnance d’un juge.

Sullivan, âgé de 43 ans, a le même style vestimentaire que Mark Zuckerberg au bureau : sweat à capuche gris, baskets et jeans. Avec sa longue coupe de cheveux chatains clair et son bouc grisonnant, il ressemble plus à un videur de bar de country music qu’à un ancien procureur fédéral, et encore moins au gars chargé de protéger ou de poursuivre les 845 millions d’utilisateurs de Facebook.

La plupart des membres de l’équipe chargé de la sécurité travaillent au siège de Menlo Park en Californie, dans des bureaux tous suffisament proches pour se viser à coups de pistolets à bouchon. Répartis grosso modo en cinq groupes, l’équipe comprend 10 personnes chargées de vérifier les nouvelles fonctionnalités, 8 qui surveillent le site au niveau des bogues et des probèmes de confidentialité, 25 qui traitent les demandes d’information sur les utilisateurs provenant des forces de l’ordre, et un petit nombre qui constituent des dossier de plaintes civiles ou criminelles envers ceux qui se comportent incorrectement sur le réseau ; le reste traite les problèmes de sécurité quand ils apparaissent, et joue le rôle de « gardes du corps numériques » protégeant les employés de Facebook (« Chaque jour nous avons au moins une tentative de compromission d’un compte d’un de nos employés », explique Sullivan). Si l’on inclut les gardiens qui surveillent les locaux du Siège Social de Facebook, l’équipe de Sullivan compte 70 personnes.

C’est un grand royaume à administrer, peuplé d’informations banales et hautement personnelles concernant ses sujets. Sa valeur nominale, estimée à 100 milliards de dollars lorsque l’entreprise entrera en bourse dans le courant de l’année, repose essentiellement sur le maintien de la population dans le bonheur et la sécurité — loin des censeurs zélés de la loi et des prédateurs de toutes sortes.

Aîné d’une famille de sept enfants, Sullivan a grandi à Cambridge dans le Massachusetts. Il décrit son père comme étant peintre et sculpteur, et sa mère comme étant une institutrice qui écrivait des romans policiers dont le héros était une bonne soeur. « Du coup, j’ai piqué ma crise d’adolescence et je me suis inscrit en fac de droit » ajoute-il.
(Une recherche sur Google révèle cependant que « telle mère, tel fils » : la mère de Sullivan était une analyste de la CIA en URSS dans les années 60, avant d’arrêter pour fonder une famille.)

Sullivan a décroché son diplôme de Droit à l’université de Miami en 1993. Il se décrit lui même comme un « early adopter », il a été le premier parmi ses amis à avoir un ordinateur et un compte mail. Lors de son premier emploi au Ministère de la justice à Miami, il a convaincu ses supérieurs que le bureau devait avoir une connexion Internet.

Il a surfé sur la vague de la cybercriminalité depuis 1997, époque à laquelle il a déménagé en tant que procureur fédéral à Las Vegas. Au moment où le Département de la Justice démarrait son programme de répression du cyberbanditisme et recrutait un procureur spécialisé en cybercriminalité dans chaque bureau, il se porta volontaire et travailla sur les toutes premières affaires d’escroquerie sur eBay et de piratage de logiciels.

Quand Bob Mueller, aujourd’hui directeur du FBI, commenca à recruter une équipe high-tech pour travailler dans le bureau de la Silicon Valley du Département de la Justice en 1999, Sullivan sauta sur l’occasion, le mettant au centre de la cybercriminalité durant le boom de l’Internet. En 2002, il part chez Ebay, où son périmètre d’intervention inclue aussi Paypal et Skype. C’est alors qu’il a dû fondamentalement modifier sa façon de penser – ne plus juste faire de son mieux pour poursuivre les criminels mais également réfléchir dans quelle mesure ne pas tout révéler aux autorités afin de protéger les droits des clients.

« Selon le produit, nous avions des approches philosophiques fondamentalement différentes envers les lois et les attentes des utilisateurs au niveau du partage de données avec la Justice, » dit-il.

Comme on peut l’attendre de quelqu’un qui était procureur à peine un an plus tôt, les relations de Sullivan avec la Justice quand il rejoignit eBay étaient cordiales. En 2003 des remarques off-the-record que fit Sullivan lors d’une conférence sur le cybercrime furent secrètement enregistrées et transmises à un journaliste du site d’information israélien Haaretz.com. Sullivan y affirmait que la politique de confidentialité des données de eBay était « flexible », lui permettant de fournir librement des informations aux enquêteurs – « pas besoin de l’ordonnance d’un juge, » selon Sullivan. Haaretz écrivit un article outragé parlant de collusion entre eBay et Big Brother.

« Avec Skype, nous disions aux forces de police de passer par le Luxembourg, et bonne chance », explique aujourd’hui Sullivan. « Mais avec eBay, si vous étiez un représentant de la loi enquêtant sur un vendeur, vous n’aviez même pas besoin d’une assignation à comparaître. Vous pouviez simplement le demander sur du papier à en-tête et nous vous remettions les données. A l’époque, des gens mettaient simplement de l’argent dans des enveloppes et les envoyaient aux vendeurs, en espérant avoir leur produit. Il y avait un besoin que les vendeurs soient surveillés. »

Sullivan rapporte que l’expérience consistant à regarder à travers différents prismes en termes de ce que l’on peut donner aux représentants de la loi avait été « vraiment utile » à l’époque (2008) de son entrée à Facebook, « où l’attente de confidentialité est prépondérante et notre philosophie devait être la politique de Skype ». Il affirme que dans « 99,9 % des cas » où Facebook a résisté à une requête, le gouvernement a fait marche arrière.

Bien que Sullivan reconnaisse les nuances autour de la confidentialité dans le contexte de la liberté d’expression et de communication, sa tolérance en matière d’exigence de respect de la confidentialité s’arrête dès lors qu’il est question d’escroquerie ou de comportement déplacé avec les enfants. Avec l’émergence des crédits Facebook – le système monétaire du site, qui requiert que les usagers utilisent des dollars virtuels pour acheter des biens dans les jeux ou les applications sur le site – il va probablement adopter l’approche d’eBay. Ceux qui font des affaires en dollars Facebook peuvent s’attendre à être surveillés de très près.

Alors en expansion rapide, la firme Facebook a, en Décembre, déménagé de Palo Alto vers Mento Park, dans l’ancien site de Sun Microsystem, connu sous le nom de « Sun Quentin », d’après le nom de la célèbre prison Marin County de la baie. Le campus étendu est toujours en construction autours de nous en ce matin de Février, avec des travailleurs portant des échelles et des bulldozers préparant les allées entre les immeubles pour les chariots de nourritures et les aires de jeu.

Puisque les employés ne peuvent pas utiliser les allées centrales, il y a des douzaines de vélos devant chaque immeuble destinés à être utilisés sur la « Hacker Way », la route pavée qui entoure le campus. « Même quand ils auront terminé, ça n’aura pas l’air trop formel » dit Sullivan, en regardant par les fenêtres du Building 18 les matériaux de construction. « Le look non-fini de notre campus est une chose culturelle. »

À l’intérieur, les murs ont une vague ressemblance avec le côté album des pages de profil. Des impressions tirées du jeu vidéo Donkey Kong et des messages griffonnés de visiteurs (beaucoup qui remercient Facebook pour leur avoir permis de « harceler » la personne qui est devenu leur conjoint(e)) sont accrochés à côté des « scalps » de l’équipe de sécurité – les photos et les détails des enquêtes sur des spammers, hackers et pédophiles qui ont été traqués et chassés du site.

8 mars 2012 | 6 Commentaires
Joe Sullivan, le super flic de Facebook
Joe Sullivan, le super flic de Facebook

Si Facebook était un pays, ce serait le troisième au monde en terme de population, et Joe Sullivan en serait le ministre de l’Intérieur.

Forbes est l’un des principaux magazine économique américain, fondé en 1917 par Bertie Charles Forbes. Andy Greenberg, qui a écrit cet article, est spécialisé dans les investigations sur les technologies de surveillance.

Son titre exact est Directeur de la Sécurité. Parmi les « terroristes » qu’il combat : le « Koobface gang », un quintette de Russes ayant développé un ver informatique qui a transformé les ordinateurs de Facebookeurs en botnet ; les spammeurs qui ont inondé les utilisateurs avec des images pornographiques et violentes en décembre dernier ; des scammeurs qui piègent les utilisateurs de Facebook avec des liens menant à des questionnaires les rémunérant en affiliation ; des pédophiles qui utilisent le site pour entrer en contact avec des mineurs ; des voleurs de contenu qui récupèrent en masse les précieuses informations personnelles des utilisateurs.

Ces voyous comptent parmi eux les utilisateurs d’applications malignes, les hackers et un diffuseur de porno amateur qui lie des pages de profils à des photos de nu mises en lignes par des ex en mal de vengeance. Ce qui a pour conséquence de faciliter les contacts, le harcèlement et le « poke » intempestif de ces nouvelles stars involontaires du X.

Les détails intimes que Facebook détient à propos de ses utilisateurs le rend aussi attractif pour la police que pour les criminels. Au nombre des responsabilités de Sullivan figurent les décisions quotidiennes quant à la quantité de données personnelles qu’il peut transmettre, à leur demande, aux services de police. Et, en tant que « ministre de l’Intérieur » d’une « nation numérique », Sullivan et son équipe surveillent activement le site à la recherche de données d’utilisateurs qui pourraient intéresser les autorités. Pour autant, assure-t-il :

« nous avons plutôt tendance à ne pas partager [vos données], et nous n’avons pas eu peur de mener quelques batailles durant toutes ces années. »

Les utilisateurs ont sans doute des droits constitutionnels face aux perquisitions abusives du gouvernement, mais seule ses imposantes Conditions Générales d’Utilisation font office de Constitution sur Facebook. Et leur rôle est avant tout d’encadrer les utilisateurs, en interdisant – par exemple – l’intimidation, la création de comptes factices ou le téléchargement d’images violentes ou à caractère sexuel, tout en rappelant les droits de Facebook sur la propriété intellectuelle du contenu mis en ligne sur le site.

En revanche, elles ne précisent pas dans quelle mesure Facebook peut se plonger dans ces informations à des fins de contrôle ou pour les transférer aux autorités.

Facebook devrait-il notifier leur droits [Miranda warning] aux utilisateurs avant qu’ils ne s’inscrivent – leur dire que tout ce qu’ils pourront poster sur le site pourra être et sera retenu contre eux ? L’entreprise donne aux représentants des forces de police, sur simple requête accompagnée d’une assignation, des informations de base sur ses membres : nom d’utilisateur, adresse e-mail et adresse IP (qui révèle leur localisation géographique approximative). Sullivan assure que tout le reste – photos, mise à jour de statut Facebook, messages privés, liste d’amis, appartenance à des groupes, pokes et autres – nécessite une ordonnance d’un juge.

Sullivan, âgé de 43 ans, a le même style vestimentaire que Mark Zuckerberg au bureau : sweat à capuche gris, baskets et jeans. Avec sa longue coupe de cheveux chatains clair et son bouc grisonnant, il ressemble plus à un videur de bar de country music qu’à un ancien procureur fédéral, et encore moins au gars chargé de protéger ou de poursuivre les 845 millions d’utilisateurs de Facebook.

La plupart des membres de l’équipe chargé de la sécurité travaillent au siège de Menlo Park en Californie, dans des bureaux tous suffisament proches pour se viser à coups de pistolets à bouchon. Répartis grosso modo en cinq groupes, l’équipe comprend 10 personnes chargées de vérifier les nouvelles fonctionnalités, 8 qui surveillent le site au niveau des bogues et des probèmes de confidentialité, 25 qui traitent les demandes d’information sur les utilisateurs provenant des forces de l’ordre, et un petit nombre qui constituent des dossier de plaintes civiles ou criminelles envers ceux qui se comportent incorrectement sur le réseau ; le reste traite les problèmes de sécurité quand ils apparaissent, et joue le rôle de « gardes du corps numériques » protégeant les employés de Facebook (« Chaque jour nous avons au moins une tentative de compromission d’un compte d’un de nos employés », explique Sullivan). Si l’on inclut les gardiens qui surveillent les locaux du Siège Social de Facebook, l’équipe de Sullivan compte 70 personnes.

C’est un grand royaume à administrer, peuplé d’informations banales et hautement personnelles concernant ses sujets. Sa valeur nominale, estimée à 100 milliards de dollars lorsque l’entreprise entrera en bourse dans le courant de l’année, repose essentiellement sur le maintien de la population dans le bonheur et la sécurité — loin des censeurs zélés de la loi et des prédateurs de toutes sortes.

Aîné d’une famille de sept enfants, Sullivan a grandi à Cambridge dans le Massachusetts. Il décrit son père comme étant peintre et sculpteur, et sa mère comme étant une institutrice qui écrivait des romans policiers dont le héros était une bonne soeur. « Du coup, j’ai piqué ma crise d’adolescence et je me suis inscrit en fac de droit » ajoute-il.
(Une recherche sur Google révèle cependant que « telle mère, tel fils » : la mère de Sullivan était une analyste de la CIA en URSS dans les années 60, avant d’arrêter pour fonder une famille.)

Sullivan a décroché son diplôme de Droit à l’université de Miami en 1993. Il se décrit lui même comme un « early adopter », il a été le premier parmi ses amis à avoir un ordinateur et un compte mail. Lors de son premier emploi au Ministère de la justice à Miami, il a convaincu ses supérieurs que le bureau devait avoir une connexion Internet.

Il a surfé sur la vague de la cybercriminalité depuis 1997, époque à laquelle il a déménagé en tant que procureur fédéral à Las Vegas. Au moment où le Département de la Justice démarrait son programme de répression du cyberbanditisme et recrutait un procureur spécialisé en cybercriminalité dans chaque bureau, il se porta volontaire et travailla sur les toutes premières affaires d’escroquerie sur eBay et de piratage de logiciels.

Quand Bob Mueller, aujourd’hui directeur du FBI, commenca à recruter une équipe high-tech pour travailler dans le bureau de la Silicon Valley du Département de la Justice en 1999, Sullivan sauta sur l’occasion, le mettant au centre de la cybercriminalité durant le boom de l’Internet. En 2002, il part chez Ebay, où son périmètre d’intervention inclue aussi Paypal et Skype. C’est alors qu’il a dû fondamentalement modifier sa façon de penser – ne plus juste faire de son mieux pour poursuivre les criminels mais également réfléchir dans quelle mesure ne pas tout révéler aux autorités afin de protéger les droits des clients.

« Selon le produit, nous avions des approches philosophiques fondamentalement différentes envers les lois et les attentes des utilisateurs au niveau du partage de données avec la Justice, » dit-il.

Comme on peut l’attendre de quelqu’un qui était procureur à peine un an plus tôt, les relations de Sullivan avec la Justice quand il rejoignit eBay étaient cordiales. En 2003 des remarques off-the-record que fit Sullivan lors d’une conférence sur le cybercrime furent secrètement enregistrées et transmises à un journaliste du site d’information israélien Haaretz.com. Sullivan y affirmait que la politique de confidentialité des données de eBay était « flexible », lui permettant de fournir librement des informations aux enquêteurs – « pas besoin de l’ordonnance d’un juge, » selon Sullivan. Haaretz écrivit un article outragé parlant de collusion entre eBay et Big Brother.

« Avec Skype, nous disions aux forces de police de passer par le Luxembourg, et bonne chance », explique aujourd’hui Sullivan. « Mais avec eBay, si vous étiez un représentant de la loi enquêtant sur un vendeur, vous n’aviez même pas besoin d’une assignation à comparaître. Vous pouviez simplement le demander sur du papier à en-tête et nous vous remettions les données. A l’époque, des gens mettaient simplement de l’argent dans des enveloppes et les envoyaient aux vendeurs, en espérant avoir leur produit. Il y avait un besoin que les vendeurs soient surveillés. »

Sullivan rapporte que l’expérience consistant à regarder à travers différents prismes en termes de ce que l’on peut donner aux représentants de la loi avait été « vraiment utile » à l’époque (2008) de son entrée à Facebook, « où l’attente de confidentialité est prépondérante et notre philosophie devait être la politique de Skype ». Il affirme que dans « 99,9 % des cas » où Facebook a résisté à une requête, le gouvernement a fait marche arrière.

Bien que Sullivan reconnaisse les nuances autour de la confidentialité dans le contexte de la liberté d’expression et de communication, sa tolérance en matière d’exigence de respect de la confidentialité s’arrête dès lors qu’il est question d’escroquerie ou de comportement déplacé avec les enfants. Avec l’émergence des crédits Facebook – le système monétaire du site, qui requiert que les usagers utilisent des dollars virtuels pour acheter des biens dans les jeux ou les applications sur le site – il va probablement adopter l’approche d’eBay. Ceux qui font des affaires en dollars Facebook peuvent s’attendre à être surveillés de très près.

Alors en expansion rapide, la firme Facebook a, en Décembre, déménagé de Palo Alto vers Mento Park, dans l’ancien site de Sun Microsystem, connu sous le nom de « Sun Quentin », d’après le nom de la célèbre prison Marin County de la baie. Le campus étendu est toujours en construction autours de nous en ce matin de Février, avec des travailleurs portant des échelles et des bulldozers préparant les allées entre les immeubles pour les chariots de nourritures et les aires de jeu.

Puisque les employés ne peuvent pas utiliser les allées centrales, il y a des douzaines de vélos devant chaque immeuble destinés à être utilisés sur la « Hacker Way », la route pavée qui entoure le campus. « Même quand ils auront terminé, ça n’aura pas l’air trop formel » dit Sullivan, en regardant par les fenêtres du Building 18 les matériaux de construction. « Le look non-fini de notre campus est une chose culturelle. »

À l’intérieur, les murs ont une vague ressemblance avec le côté album des pages de profil. Des impressions tirées du jeu vidéo Donkey Kong et des messages griffonnés de visiteurs (beaucoup qui remercient Facebook pour leur avoir permis de « harceler » la personne qui est devenu leur conjoint(e)) sont accrochés à côté des « scalps » de l’équipe de sécurité – les photos et les détails des enquêtes sur des spammers, hackers et pédophiles qui ont été traqués et chassés du site.

Les noms des salles de conférence dans l’immeuble de la sécurité sont un méli-mélo de nom d’artistes musicaux et de failles de sécurité, telle que « Alicia Keylogger ». Sullivan salue une dizaine de personnes assises à une rangée de bureaux, qui sourient timidement dans notre direction.

« Ils s’occupent des requêtes des forces de l’ordre », explique-t-il. L’équipe de sécurité a cinq autres membres basés à Dublin, en Irlande, qui parlent chaque langue européenne et répondent aux demandes gouvernementales internationales.

« Claudio, par exemple, parle avec chaque officier de police d’Italie, et répond aux questions qu’ils peuvent se poser sur Facebook. Nous faisons très attention aux informations que nous partageons, mais ça ne veut pas dire que nous ne pouvons pas les aider à comprendre une situation qu’ils n’ont jamais dû gérer jusqu’ici.

Julien Assange de Wikileaks a qualifié Facebook de machine d’espionnage la plus parfaite au monde, ayant accès à 40% des deux milliards d’internautes que compte la planète. Un étudiant en droit australien de 24 ans a récemment mis à profit la loi européenne de « droit d’accès » (NdT : aux données le concernant) – qui oblige les sociétés à fournir toutes les données en leur possession concernant un citoyen sur demande de ce dernier – pour obtenir son fichier Facebook. Après trois années de fréquentation du site, il a pu obtenir un document de 1222 pages !

Sullivan se moque des accusations de machine à espionner.

« Nous n’avons pas une ligne directe vers la CIA » dit-il. « Si les gens avaient des expériences horribles, ils arrêteraient d’utiliser Facebook »

Ceci fait écho à ce que l’on ressent à la lecture du récent dossier d’introduction en bourse du groupe :

« Un certain nombre de facteurs peuvent potentiellement dégrader la fidélité des utilisateurs, leur croissance et leur engagement sur le site, en particulier si l’utilisateur ressent un changement dans la qualité et l’utilité de nos produits, ou des préocupations liées a la vie privée et les échanges, la sûreté, la sécurité ou d’autres paramètres. »
Les représentants de la loi, ainsi que les parties civiles, dépendent de plus en plus de compagnies tierces telles que Facebook comme source de preuves dans les investigations criminelles et les poursuites judiciaires. C’est dans la nature de notre époque caractérisée par la surexposition de soi de rendre disponibles et facilement découvrables de plus en plus d’informations sur nous-même.

Sullivan va plus loin dans son récent rapport de sécurité aux cadres de Facebook, dans lequel il met en lumiere des incidents significatifs de « bons-à-rien » pokés par l’équipe de sécurité. Sullivan note que la police de Floride a appelé la ligne d’urgence de Facebook réservée aux forces de l’ordre, ouverte 24/24, la semaine précédente, pour demander de l’aide afin de localiser un bébé de 2 semaines qui avait été enlevé à sa mère.

Quand les forces de police appellent la hotline pour un cas de vie ou de mort, Facebook se plie aux demandes légales et fournit les informations aux autorités sans les faire passer par les canaux officiels. Dans ce cas, il a fourni aux autorités les adresses IP et informations de localisation pour les dernières connexions de l’utilisateur suspecté d’enlèvement d’enfant. Le bébé a été retrouvé 30 minutes plus tard.

Lors d’un autre incident, une étude proactive par les équipes de securité de Facebook a permis la détection d’un pédophile. Le site utilise des algorithmes qui détectent les comportements suspects et les portent à l’attention du groupe de Sullivan.

« Nous avons découvert qu’un pasteur pour la jeunesse et entraineur sportif d’enfants dans l’Indiana utilisait de faux comptes pour tenter de rentrer en communication avec des enfants sur notre site, » dit-il. « En conséquence, nous avons appellé le FBI en Indiana et lui avons envoyé les informations »

Alors qu’un pasteur pour la jeunesse cherchant à entrer en communication avec des jeunes ne semble pas particulièrement abominable, Sullivan suggère que le fait qu’il utilise des faux comptes, de même que le contenu de ses communications, était suffisamment perturbant pour justifier l’implication de la police.

Les utilisateurs oublient souvent qu’il sont constamment scrutés sur le site, que ce soit par de vraies personnes ou par des algorithmes. L’année dernière Facebook a adopté un programme de Microsoft appellé PhotoDNA. Il scanne chaque image postée sur le site pour voir si elle correspond à une des images connues de pornographie infantile, rassemblées par le Centre National d’Information sur le Crime du FBI.

« Notre liste d’images de pornographie infantile est bien plus grande que celle du FBI, » dit Sullivan. « Chaque fois que nous trouvons quelque chose de nouveau – via un rapport d’utilisateur ou une alerte sur un mot clé – nous vérifions manuellement l’album de l’utilisateur pour voir s’il y a d’autres images que nous devrions ajouter à la liste, et nous les ajoutons à notre bibliothèque. Nous étudions un moyen de partager cette bilbliothèque avec d’autres. »

« Depuis des années, le site a utilisé des algorithmes spécialisés pour éliminer de faux comptes dédiés au spam et pour contrôler les interactions enfant-adulte ».

Séducteurs, attention : « Si vous envoyez des requêtes d’amis qui tendent vers 80% de femmes, ou si vous changez souvent votre date de naissance-au-dessus et au-dessous de 18 ans, c’est un drapeau rouge, « , dit Sullivan. « Notre équipe chargée de l’intégrité du site a construit des machines pour les nourrir de caractéristiques, et ils commencent à traquer les gens. Quand vous avez des règles simples et concrètes, les gens les comprennent facilement, mais avec des machines capables d’apprendre, cela évolue en permanence », parfois avec des méthodes que la plupart des utilisateurs de Facebook ignorent probablement. L’équipe de Sullivan détermine quand la police doit fouiller un compte, mais a également le pouvoir de faire ses propres recherches pour empêcher des escrots d’abuser du site, ainsi que de remettre ces derniers aux autorités.

La Constitution [américaine] nous protège contre des perquisitions abusives par les autorités fédérales, leur enjoignant, par exemple, d’obtenir un mandat de recherche auprés d’un juge pour parcourir nos foyers numériques, de la même façon qu’ils doivent le faire pour nos foyers physiques. Mais quand il s’agit de la protection de notre vie privée de la part des sociétés qui stockent nos données ? C’est plus compliqué.

La confidentialité, ou son absence, est la plus grande critique formulée à l’encontre de Facebook. Les modifications incessantes des règles de confidentialité ont entraîné un rejet immédiat des utilisateurs fait faire machine arrière à l’entreprise. Après une enquête de la Federal Trade Commission (N.D.T. : une agence fédérale nord-américaine chargée notamment de protéger les consommateurs) sur des pratiques injustes et trompeuses, le site est maintenant sujet à des audits vérifiant le respect de la vie privée tous les deux ans.

Cela n’a pas empêché un fort taux de récidive. Récemment la migration de toutes les pages de profil existantes vers la nouvelle « Timeline » qui montre au grand jour des activités vieilles de plusieurs années en les faisant réapparaître sur la première page des utilisateurs, a provoqué un tollé des défenseurs de la vie privée.

Depuis son embauche chez Facebook, Sullivan a mené une politique plus agressive en matière de sécurité. Alors que beaucoup d’entreprises se concentrent sur la découverte et l’élimination des menaces, Sullivan veut également poursuivre les malfaiteurs. « Joe veut absolument traquer les méchants, » nous dit Alex Rice, un membre de son équipe de sécurité. « Je pense que c’est lié à son passé de procureur. »

Sullivan se plaint que les forces de l’ordre soit trop concentrées sur les violations de la propriété intellectuelle, et peu intéressées par les cas ayant trait aux malwares et au spam qui représentent une menace de plus en plus importante sur les réseaux sociaux. Facebook a donc décidé de prendre lui même les choses en main en attaquant les suspects en justice et devant l’opinion publique.

« Beaucoup d’entreprises se contentent d’une stratégie défensive, comme par exemple les entreprises de cartes de crédits, qui investissent énormément d’argent dans la détection et la prévention des fraudes mais ne mènent pas d’actions au civil », d’après Sullivan. « Nous passons énormément de temps à essayer de deviner qui se cache derrière les cyberdélits. »

Une arnaque fréquente consiste à amener des utilisateurs à remplir des questionnaires ou à visiter des sites qui génèrent des profits pour des companies de communications, en les incitant grâce à des promesses d’images trompeuses, impliquant souvent Justin Bieber. Les avocats de Facebook distribuent des lettres de « cease-and-desist » (ie : injonction à supprimer le contenu) comme des bonbons.

Quand un site appelé IsAnyoneUp a commencé à prendre des captures d’écrans de pages d’utilisateurs pour les poster à côté de photos d’eux nus, Facebook a envoyé un courrier à l’administrateur du site, a fermé son compte, et lui a retiré la capacité à installer le bouton « like » sur son site (cela ne l’a pour autant toujours pas arrêté). Il a aussi attaqué en justice des dizaines de spammeurs, ainsi que des opérations publicitaires et marketing, grace au CAN-SPAM Act, et a obtenu plus d’un milliard de dollars en dommages et intêrets.

« La sécurité sur les e-mails est particulièrement importante de nos jours », dit Dirk Kollberg, un chercheur en sécurité pour Sophos, basée à Wiesbaden en Allemagne. « Tout le monde a appris à y éviter virus et spams. Mais les gens ne sont pas éduqués a faire de même dans les réseaux sociaux, et c’est en conséquence là que les criminels se réfugient. »

Du coup, prenant le taureau judiciaire par les cornes cybernétiques, Facebook les dénonce. En collaboration avec Sophos, la companie a identifié les cinq russes responsables du ver Koobface qui a infecté des centaines de milliers d’ordinateurs, générant des gains d’au moins 6 millions de dollars pour ses créateurs.

Quand les utilisateurs cliquaient sur un message Facebook « VOUS DEVEZ VOIR CETTE VIDEO DE FOLIE », on leur donnait des instructions pour télécharger une mise à jour de leur logiciel. Les ordinateurs infectés devenaient sans le savoir esclaves d’un botnet géré par le gang Koobface. Ils en profitaient pour détourner des recherches internet afin d’envoyer les utilisateurs sur des sites malveillants et les bombarder avec des publicités gérées par d’autres cybercriminels.

Sullivan a franchi le pas parce qu’il pensait devoir aller plus loin. Avec Sophos, il suivit les indices digitaux permettant de découvrir les personnes responsables de Koobface (un anagrame de Facebook). Ils ont ensuite donné leurs preuves au FBI et attendu qu’ils réagissent.

Après plus d’un an d’inaction, ils ont décidé de faire justice eux même, en exposant les membres du gang dans le New York Times après qu’un blogueur en « sécurité » ait dénoncé l’un d’eux, alertant ainsi le groupe qu’ils avaient été repérés. Facebook et Sophos ont expliqué comment ils les avaient retrouvés en utilisant leurs adresses IP, leurs check-ins sur Foursquare [un réseau social basé sur la géolocalisation], leur activité sur Twitter, leurs listes d’amis sur un réseau social en ligne russe, et leurs photos Flickr montrant le gang en vacance en Europe. « Le propos n’est pas de contrôler l’utilisateur, » précise Kolberg, qui a participé au torpillage de Koobface « mais de produire de la sécurité pour l’utilisateur. »

Quelquefois, Facebook va trop loin… et revient sur ses pas. Bien que Sullivan ne donne pas de détails, il cite le cas hypothétique d’adolescents qui utiliseraient Facebook d’une manière « approchant du spam, mais à la limite de la légalité » – par exemple, en invitant en masse des personnes à des évènements. Dans de tels cas, son équipe ne les signale généralement pas aux autorités, mais appelle plutôt leur mère.

N’étant pas limités par les contraintes constitutionnelles, « les avocats de Facebook, Google et Microsoft ont plus de pouvoir sur le futur de la vie privée et de la liberté d’expression que n’importe quel roi, président ou Cour Suprême », écrit le juriste Jeffrey Rosen.

Sullivan a maîtrisé le recours à la communauté pour servir une forme de justice. Il a obtenu un budget pour lancer un programme de primes au sein de Facebook, où des limiers indépendants peuvent gagner 500$, voir plus, pour identifier (et ne pas divulguer) des failles de sécurité ou de confidentialité sur le site. « Nous avons une équipe de sécurité très réduite », dit-il. « Donc nous essayons de transformer nos utilisateurs en patrouilles de sécurité. »

Facebook a rendu le processus de signalement simple pour les utilisateurs, à l’aide notamment d’un bouton « signaler » qui accompagne tout contenu qui apparaît sur le site. De cette façon, les utilisateurs peuvent le marquer comme « spam ou arnaque », « nudité », « violence », « discours haineux », ou plusieurs autres catégories. Cela a aidé la compagnie à identifier de nombreux délinquants de haut vol.

Ainsi, lorsqu’un homme de Chicaco a publié une photo de son très jeune enfant attaché et baillonné avec du ruban adhésif en décembre, avec la légende « C’est c’qui arrive kan mon bébé me rends mes coups », la photo a été marquée. Il a été signalé aux autorités et inculpé pour violences domestiques aggravées.

Mais le programme de surveillance de la communauté peut aussi avoir l’effet inverse que prévu, en particulier lorsqu’il essaie de transformer un scélérat en un gentil. En décembre, un utilisateur a découvert un talon d’Achille au sein de la sécurité de Facebook, et a décidé de le rendre public, montrant qu’il était possible d’exposer publiquement les photos privées d’un utilisateur en reportant le caractère « abusif » de l’une de ses photos publiques ; Facebook exposait alors les autres photos privées de l’utilisateur pour pouvoir les marquer, au cas où elles seraient également « abusives ».

La personne qui a découvert la faille l’a publiée sur le forum de « Bodybuilding.com » et a inclu quelques photos privées de Mark Zuckerberg ainsi découvertes. « J’espère qu’il ne savait tout simplement pas qu’il existait un endroit où il aurait pu gagner de l’argent en signalant un bug tel que celui-ci », dit Sullivan.

Comment rendre un endroit plus sûr et respectueux de la loi sans pour autant créer une surveillance étouffante ? Maintenant que Facebook a l’empreinte faciale de millions d’utilisateurs, que fera-t-il quand les forces de l’ordre lui demanderont l’identification d’un suspect à partir d’une photo ?

« Nous attendrons un mandat délivré par un juge, et nous le contesterons devant les tribunaux autant que possible », déclare Sullivan, ajoutant que Facebook reçoit chaque semaine des milliers d’appels et d’emails provenant des pouvoirs publics.

« Récemment, une administration nous a demandé d’enregistrer des informations que nous n’enregistrions pas. Nous leur avons répondu que nous ne le ferions pas car nous n’en avions pas besoin pour fournir un bon produit. Nous avons consulté notre service juridique. La loi n’est pas toute noire ou toute blanche. Cette administration pense qu’elle peut nous contraindre. Nous leur avons dit de nous attaquer en justice. Ils ne l’ont toujours pas fait. »

Pourtant, le Quatrième Amendement contre les perquisitions et les saisies injustifiées ne nous protège pas de ces requêtes, du fait de la fameuse doctrine des tiers, selon laquelle toute information, dès lors qu’elle a été délibérement communiquée à un tiers, perd tout caractère confidentiel, ce qui permet très facilement au gouvernement d’obtenir les registres téléphoniques, bancaires ou internet.

Dans une récente décision de la Cour Suprême, la juge Sonia Sotomayor a suggéré que cette doctrine « n’était pas adaptée à l’ère numérique, dans laquelle les gens révèlent un grand nombre d’informations privées à des tiers dans le cadre de leurs activités courantes ». Elle a suggéré qu’il serait utile de repenser ce principe de droit.

La loi de 1986 sur la confidentialité des communications électroniques établit des protections juridiques supplémentaires autour du « contenu » des mails et autres « médias » de communication. Elle impose à la police l’obligation d’obtenir un mandat judiciaire pour obtenir l’accès, au lieu de simplement demander aux entreprises de le leur donner. Les agences fédérales ne cessent cependant de réclamer un accès simplifié et une règlementation plus souple.

Dans un environnement juridique aussi instable, à quel point peut-on faire confiance aux sites comme Facebook pour protéger le journal intime numérique que nous leur abandonnons volontairement ? Pour Sullivan, il s’agit de protéger les utilisateurs et l’intégrité du site et de traquer les « méchants », un vestige de son passé au Departement de la Justice. « En tant que procureur, vous avez le sentiment d’être toujours du côté du droit. »

Source :fhimt.com, CC-by