Facebook, WhatsApp et votre vie privée : ce que vous devez savoir

Cette histoire a été initialement publiée sur ProPublica par Peter Elkind , Jack Gillum et Craig Silverman ; Alex Mierjeski et Doris Burke ont contribué au reportage.

Clarification, 8 septembre 2021 : Une version précédente de cette histoire a provoqué une confusion involontaire sur la mesure dans laquelle WhatsApp examine les messages de ses utilisateurs et si elle casse le cryptage qui garde les échanges secrets.

Nous avons modifié le langage de l'histoire pour indiquer clairement que l'entreprise n'examine que les messages provenant de fils de discussion qui ont été signalés par les utilisateurs comme potentiellement abusifs. Il ne casse pas le chiffrement de bout en bout.

Lorsque Mark Zuckerberg a dévoilé une nouvelle "vision axée sur la confidentialité" pour Facebook en mars 2019, il a cité le service de messagerie mondial de l'entreprise, WhatsApp, comme modèle.

Reconnaissant que "nous n'avons pas actuellement une solide réputation pour la création de services de protection de la vie privée", le PDG de Facebook a écrit que "je crois que l'avenir de la communication passera de plus en plus à des services privés et cryptés où les gens peuvent être sûrs de ce qu'ils se disent. reste sécurisé et leurs messages et contenus ne resteront pas indéfiniment. C'est l'avenir que j'espère que nous contribuerons à réaliser. Nous prévoyons de construire cela de la même manière que nous avons développé WhatsApp.

La vision de Zuckerberg était centrée sur la fonctionnalité de signature de WhatsApp, qu'il prévoyait d' appliquer à Instagram et Facebook Messenger : le cryptage de bout en bout, qui convertit tous les messages dans un format illisible qui n'est déverrouillé que lorsqu'ils atteignent leurs destinations prévues.

Les messages WhatsApp sont si sécurisés, a-t-il dit, que personne d'autre – pas même l'entreprise – ne peut lire un mot. Comme Zuckerberg l'avait dit plus tôt, lors d'un témoignage devant le Sénat américain en 2018, "Nous ne voyons aucun contenu dans WhatsApp".

WhatsApp insiste si systématiquement sur ce point qu'un indicateur avec une assurance similaire apparaît automatiquement à l'écran avant que les utilisateurs n'envoient des messages : "Personne en dehors de ce chat, pas même WhatsApp, ne peut les lire ou les écouter."

Compte tenu de ces assurances radicales, vous pourriez être surpris d'apprendre que WhatsApp compte plus de 1 000 travailleurs contractuels occupant les étages d'immeubles de bureaux à Austin, au Texas, à Dublin et à Singapour.

Assis devant des ordinateurs dans des modules organisés par affectations de travail, ces travailleurs horaires utilisent un logiciel Facebook spécial pour passer au crible des millions de messages privés, d'images et de vidéos.

Ils portent un jugement sur tout ce qui clignote sur leur écran - réclamations de tout, de la fraude ou du spam à la pornographie juvénile et au complot terroriste potentiel - généralement en moins d'une minute.

Les travailleurs n'ont accès qu'à un sous-ensemble de messages WhatsApp - ceux signalés par les utilisateurs et automatiquement transmis à l'entreprise comme potentiellement abusifs.

L'examen est un élément d'une opération de surveillance plus large dans laquelle l'entreprise examine également le matériel qui n'est pas crypté, y compris les données sur l'expéditeur et son compte.

Contrôler les utilisateurs tout en leur assurant que leur vie privée est sacro-sainte est une mission délicate chez WhatsApp. Une présentation marketing interne de 49 diapositives de décembre, obtenue par ProPublica, met l'accent sur la promotion « féroce » du « récit de confidentialité » de WhatsApp.

Il compare son "personnage de marque" à "la mère immigrée" et affiche une photo de Malala ​​Yousafzai, qui a survécu à une fusillade des talibans et est devenue lauréate du prix Nobel de la paix, dans une diapositive intitulée "Paramètres de ton de marque".

La présentation ne mentionne pas les efforts de modération de contenu de l'entreprise.

Le directeur des communications de WhatsApp, Carl Woog, a reconnu que des équipes de sous-traitants à Austin et ailleurs examinent les messages WhatsApp pour identifier et supprimer les "pires" agresseurs.

Mais Woog a déclaré à ProPublica que la société ne considérait pas ce travail comme une modération de contenu, déclarant : "Nous n'utilisons généralement pas le terme pour WhatsApp."

La société a refusé de mettre des dirigeants à disposition pour des entretiens pour cet article, mais a répondu aux questions par des commentaires écrits. "WhatsApp est une bouée de sauvetage pour des millions de personnes dans le monde", a déclaré la société.

"Les décisions que nous prenons concernant la façon dont nous construisons notre application sont axées sur la confidentialité de nos utilisateurs, en maintenant un haut degré de fiabilité et en empêchant les abus."

Le déni de WhatsApp selon lequel il modère le contenu est sensiblement différent de ce que Facebook Inc. dit à propos des frères et sœurs de WhatsApp, Instagram et Facebook. La société a déclaré que quelque 15 000 modérateurs examinent le contenu sur Facebook et Instagram, dont aucun n'est crypté.

Il publie des rapports de transparence trimestriels qui détaillent le nombre de comptes Facebook et Instagram qui ont "agi" pour diverses catégories de contenu abusif. Il n'y a pas un tel rapport pour WhatsApp.

Le déploiement d'une armée de réviseurs de contenu n'est que l'une des façons dont Facebook Inc. a compromis la confidentialité des utilisateurs de WhatsApp.

Ensemble, les actions de l'entreprise ont laissé WhatsApp - la plus grande application de messagerie au monde, avec deux milliards d'utilisateurs - beaucoup moins privée que ses utilisateurs ne le comprennent ou ne l'attendent probablement.

Une enquête de ProPublica, s'appuyant sur des données, des documents et des dizaines d'entretiens avec des employés et sous-traitants actuels et anciens, révèle comment, depuis l'achat de WhatsApp en 2014, Facebook a discrètement sapé ses vastes garanties de sécurité de plusieurs manières. ( Cet été, deux articles notaient l'existence des modérateurs de WhatsApp, mais se concentraient sur leurs conditions de travail et leur rémunération plutôt que sur leur effet sur la vie privée des utilisateurs. Cet article est le premier à révéler les détails et l'étendue de la capacité de l'entreprise à examiner les messages et les données des utilisateurs — et d'examiner ce que l'entreprise fait de ces informations.)

De nombreuses affirmations des modérateurs de contenu travaillant pour WhatsApp sont reprises par une plainte confidentielle déposée l'année dernière auprès de la Securities and Exchange Commission des États-Unis.

La plainte, que ProPublica a obtenue, détaille l'utilisation intensive par WhatsApp de sous-traitants externes, de systèmes d'intelligence artificielle et d'informations de compte pour examiner les messages, images et vidéos des utilisateurs. Il allègue que les affirmations de l'entreprise concernant la protection de la vie privée des utilisateurs sont fausses.

"Nous n'avons pas vu cette plainte", a déclaré le porte-parole de la société. La SEC n'a pris aucune mesure publique à ce sujet; un porte-parole de l'agence a refusé de commenter.

Facebook Inc. a également minimisé la quantité de données qu'il collecte auprès des utilisateurs de WhatsApp, ce qu'il en fait et combien il partage avec les autorités chargées de l'application des lois.

Par exemple, WhatsApp partage des métadonnées, des enregistrements non cryptés qui peuvent révéler beaucoup de choses sur l'activité d'un utilisateur, avec des organismes chargés de l'application de la loi tels que le ministère de la Justice.

Certains rivaux, tels que Signal, collectent intentionnellement beaucoup moins de métadonnées pour éviter les incursions dans la vie privée de ses utilisateurs, et partagent donc beaucoup moins avec les forces de l'ordre. ("WhatsApp répond aux demandes légales valides", a déclaré le porte-parole de la société, "y compris les commandes qui nous obligent à fournir en temps réel à l'avenir à qui une personne spécifique envoie un message".)

Les données des utilisateurs de WhatsApp, a appris ProPublica, ont aidé les procureurs à monter un dossier très médiatisé contre un employé du département du Trésor qui a divulgué des documents confidentiels à BuzzFeed News qui ont révélé comment l'argent sale circule dans les banques américaines.

À l'instar d'autres plateformes de médias sociaux et de communication, WhatsApp est pris entre des utilisateurs qui s'attendent à ce que la vie privée et des entités chargées de l'application de la loi exigent le contraire : que WhatsApp transmette des informations qui aideront à lutter contre la criminalité et les abus en ligne.

WhatsApp a répondu à ce dilemme en affirmant que ce n'est pas du tout un dilemme.

"Je pense que nous pouvons absolument assurer la sécurité et la sûreté des personnes grâce au cryptage de bout en bout et travailler avec les forces de l'ordre pour résoudre les crimes", a déclaré Will Cathcart, dont le titre est responsable de WhatsApp, dans une interview YouTube avec un groupe de réflexion australien en Juillet.

La tension entre la vie privée et la diffusion d'informations aux forces de l'ordre est exacerbée par une deuxième pression : le besoin de Facebook de gagner de l'argent avec WhatsApp.

Depuis qu'il a payé 22 milliards de dollars pour acheter WhatsApp en 2014, Facebook essaie de trouver un moyen de générer des bénéfices à partir d'un service qui ne facture pas un centime à ses utilisateurs.

Cette énigme a périodiquement conduit à des mouvements qui irritent les utilisateurs, les régulateurs ou les deux. L'objectif de monétiser l'application faisait partie de la décision de l'entreprise en 2016 de commencer à partager les données des utilisateurs de WhatsApp avec Facebook, ce que l'entreprise avait déclaré aux régulateurs de l'Union européenne était technologiquement impossible.

La même impulsion a suscité un projet controversé, abandonné fin 2019, de vendre de la publicité sur WhatsApp. Et le mandat de recherche de profit était à l'origine d'une autre initiative bâclée en janvier : l'introduction d'une nouvelle politique de confidentialité pour les interactions des utilisateurs avec les entreprises sur WhatsApp, permettant aux entreprises d'utiliser les données des clients de nouvelles façons.

Cette annonce a déclenché un exode des utilisateurs vers des applications concurrentes.

Le plan commercial de plus en plus agressif de WhatsApp se concentre sur la facturation aux entreprises d'une gamme de services - permettant aux utilisateurs d'effectuer des paiements via WhatsApp et de gérer les chats du service client - qui offrent une commodité mais moins de protection de la vie privée.

Le résultat est un système de confidentialité à deux niveaux déroutant au sein de la même application où les protections du chiffrement de bout en bout sont encore érodées lorsque les utilisateurs de WhatsApp utilisent le service pour communiquer avec les entreprises.

La présentation marketing de décembre de la société capture les impératifs divergents de WhatsApp. Il déclare que "la vie privée restera importante". Mais cela traduit également ce qui semble être une mission plus urgente : la nécessité "d'ouvrir l'ouverture de la marque pour englober nos futurs objectifs commerciaux".

I. « Associés à la modération de contenu »

À bien des égards, l'expérience d'être un modérateur de contenu pour WhatsApp à Austin est identique à être un modérateur pour Facebook ou Instagram, selon des entretiens avec 29 modérateurs actuels et anciens.

Pour la plupart dans la vingtaine et la trentaine, dont beaucoup ont une expérience passée en tant que commis de magasin, contrôleurs d'épicerie et baristas, les modérateurs sont embauchés et employés par Accenture, un énorme entrepreneur d'entreprise qui travaille pour Facebook et d'autres mastodontes du Fortune 500.

Les offres d'emploi annoncent des postes de «révision de contenu» et ne font aucune mention de Facebook ou de WhatsApp. Les documents d'emploi indiquent que le titre initial des travailleurs est "associé à la modération de contenu". Le salaire commence autour de 16,50 $ de l'heure.

Les modérateurs sont chargés de dire à toute personne qui le demande qu'ils travaillent pour Accenture et sont tenus de signer des accords de non-divulgation. Citant les NDA, presque tous les modérateurs actuels et anciens interrogés par ProPublica ont insisté sur l'anonymat. (Un porte-parole d'Accenture a refusé de commenter, renvoyant toutes les questions sur la modération de contenu à WhatsApp.)

Lorsque l'équipe WhatsApp a été réunie à Austin en 2019, les modérateurs de Facebook occupaient déjà le quatrième étage d'une tour de bureaux sur Sixth Street, à côté de la célèbre scène des bars et de la musique de la ville.

L'équipe WhatsApp a été installée à l'étage supérieur, avec de nouvelles cabines de travail vitrées et de plus belles salles de bains qui ont suscité une pointe d'envie chez quelques membres de l'équipe Facebook. La plupart des membres de l'équipe WhatsApp se sont dispersés pour travailler à domicile pendant la pandémie.

Que ce soit au bureau ou à la maison, ils passent leurs journées devant des écrans, utilisant un outil logiciel Facebook pour examiner un flux de « tickets », organisés par sujet en files d'attente « réactives » et « proactives ».

Collectivement, les travailleurs examinent des millions de contenus WhatsApp chaque semaine. Chaque réviseur traite plus de 600 tickets par jour, ce qui leur donne moins d'une minute par ticket.

WhatsApp a refusé de révéler le nombre de contractuels employés pour l'examen du contenu, mais une liste partielle du personnel examinée par ProPublica suggère que, chez Accenture uniquement, il y en a plus de 1 000.

Les modérateurs de WhatsApp, comme leurs homologues Facebook et Instagram, doivent respecter les mesures de performance en matière de vitesse et de précision, qui sont auditées par Accenture.

Leurs emplois diffèrent à d'autres égards. Étant donné que le contenu de WhatsApp est crypté, les systèmes d'intelligence artificielle ne peuvent pas analyser automatiquement tous les chats, images et vidéos, comme ils le font sur Facebook et Instagram.

Au lieu de cela, les réviseurs de WhatsApp ont accès au contenu privé lorsque les utilisateurs cliquent sur le bouton "signaler" de l'application, identifiant un message comme violant prétendument les conditions d'utilisation de la plate-forme.

Cela transmet cinq messages – celui prétendument offensant ainsi que les quatre précédents de l'échange, y compris des images ou des vidéos – à WhatsApp sous forme non brouillée, selon d'anciens ingénieurs et modérateurs de WhatsApp.

Des systèmes automatisés introduisent ensuite ces tickets dans des files d'attente « réactives » pour que les travailleurs contractuels les évaluent.

L'intelligence artificielle lance un deuxième ensemble de files d'attente - dites proactives - en analysant les données non chiffrées que WhatsApp collecte sur ses utilisateurs et en les comparant aux informations de compte et aux modèles de messagerie suspects ( un nouveau compte envoyant rapidement un volume élevé de chats est la preuve de spam ), ainsi que des termes et des images qui ont précédemment été jugés abusifs.

Les données non cryptées disponibles pour examen sont vastes. Il comprend les noms et les images de profil des groupes WhatsApp d'un utilisateur ainsi que son numéro de téléphone, sa photo de profil, son message d'état, le niveau de la batterie du téléphone, la langue et le fuseau horaire, l'identifiant et l'adresse IP uniques du téléphone portable, la force du signal sans fil et le système d'exploitation du téléphone, sous forme de liste de leurs appareils électroniques, de tous les comptes Facebook et Instagram associés, de la dernière fois qu'ils ont utilisé l'application et de tout historique antérieur d'infractions.

Les examinateurs de WhatsApp ont trois choix lorsqu'ils reçoivent un ticket pour l'un ou l'autre type de file d'attente : ne rien faire, placer l'utilisateur sous surveillance pour un examen plus approfondi ou interdire le compte. (Les modérateurs de contenu Facebook et Instagram ont plus d'options, y compris la suppression de publications individuelles. C'est cette distinction - le fait que les examinateurs de WhatsApp ne peuvent pas supprimer des éléments individuels - que la société cite comme base pour affirmer que les examinateurs de WhatsApp ne sont pas des "modérateurs de contenu". )

Les modérateurs de WhatsApp doivent porter des jugements subjectifs, sensibles et subtils, des interviews et des documents examinés par ProPublica show.

Ils examinent un large éventail de catégories, y compris "Spam Report", "Civic Bad Actor" (discours de haine politique et désinformation), "Terrorism Global Credible Threat", "CEI" (images d'exploitation d'enfants) et "CP" (pornographie enfantine) .

Un autre ensemble de catégories traite de la messagerie et de la conduite de millions de petites et grandes entreprises qui utilisent WhatsApp pour discuter avec les clients et vendre leurs marchandises.

Ces files d'attente portent des titres tels que "prévalence de l'usurpation d'identité", "violateurs probables de la politique commerciale" et "vérification de l'entreprise".

Les modérateurs disent que les conseils qu'ils reçoivent de WhatsApp et d'Accenture reposent sur des normes qui peuvent être à la fois mystérieuses et graphiques.

Les décisions concernant les images sexuelles abusives, par exemple, peuvent reposer sur une évaluation visant à déterminer si un enfant nu sur une image apparaît adolescent ou prépubère, sur la base d'une comparaison des os de la hanche et des poils pubiens avec un tableau d'index médical.

Un critique a rappelé une vidéo granuleuse dans une file d'attente de discours politiques qui montrait un homme brandissant une machette tenant ce qui semblait être une tête coupée : « Nous avons dû regarder et dire : 'Est-ce un vrai cadavre ou un faux cadavre ? '"

Fin 2020, les modérateurs ont été informés d'une nouvelle file d'attente pour "sextorsion" présumée. Il a été défini dans une note explicative comme "une forme d'exploitation sexuelle où des personnes sont soumises à un chantage avec une image nue d'eux-mêmes qui a été partagée par eux ou quelqu'un d'autre sur Internet".

Le mémo indiquait que les travailleurs examineraient les messages signalés par les utilisateurs qui "incluent des mots-clés prédéfinis généralement utilisés dans les messages de sextorsion/chantage".

Le système de révision de WhatsApp est entravé par des obstacles, notamment une traduction erronée. Le service compte des utilisateurs dans 180 pays, la grande majorité étant située en dehors des États-Unis.

Même si Accenture embauche des travailleurs qui parlent plusieurs langues, pour les messages dans certaines langues, il n'y a souvent aucun locuteur natif sur place pour évaluer les plaintes d'abus.

Cela signifie utiliser l'outil de traduction de Facebook, qui, selon les critiques, pourrait être si inexact qu'il étiquetait parfois les messages en arabe comme étant en espagnol. L'outil offrait également peu de conseils sur l'argot local, le contexte politique ou les insinuations sexuelles.

"Depuis trois ans que je suis là-bas", a déclaré un animateur, "ça a toujours été horrible."

Le processus peut être truffé d'erreurs et de malentendus. Des entreprises ont été signalées pour avoir proposé des armes à la vente lorsqu'elles vendaient des rasoirs droits.

Les soutiens-gorge peuvent être vendus, mais si le langage marketing est enregistré comme "adulte", le vendeur peut être qualifié d'"entreprise à caractère sexuel" interdite.

Et un outil de traduction défectueux a déclenché une alarme lorsqu'il a détecté des chevreaux à vendre et à abattre, ce qui, après un examen plus approfondi, s'est avéré impliquer de jeunes chèvres destinées à être cuites et consommées dans des repas halal.

Le système est également sapé par les défaillances humaines des personnes qui incitent à signaler. Les plaintes sont fréquemment déposées pour punir, harceler ou blaguer quelqu'un, selon les modérateurs.

Dans des messages du Brésil et du Mexique, un modérateur a expliqué : "nous avons eu quelques mois où l'IA interdisait des groupes à gauche et à droite parce que les gens se moquaient de leurs amis en changeant les noms de leurs groupes", puis en les signalant.

« Au pire, nous en recevions probablement des dizaines de milliers. Ils ont trouvé des mots que l'algorithme n'aimait pas.

D'autres rapports ne respectent pas les normes WhatsApp pour une interdiction de compte. "La plupart ne sont pas en violation", a déclaré l'un des modérateurs. "C'est du contenu qui est déjà sur Internet, et ce ne sont que des gens qui essaient de déranger les utilisateurs."

Pourtant, chaque cas peut révéler jusqu'à cinq messages non chiffrés, qui sont ensuite examinés par les modérateurs.

Le jugement de l'IA de WhatsApp est loin d'être parfait, disent les modérateurs. "Il y avait beaucoup de photos innocentes là-bas qui n'étaient pas autorisées à y être", a déclaré Carlos Sauceda, qui a quitté Accenture l'année dernière après neuf mois.

"Cela aurait pu être une photo d'un enfant prenant un bain, et il n'y avait rien de mal à cela." Comme l'a dit un autre modérateur de WhatsApp, "La plupart du temps, l'intelligence artificielle n'est pas si intelligente."

Les directives écrites de Facebook aux modérateurs de WhatsApp reconnaissent de nombreux problèmes, notant que « nous avons commis des erreurs et nos politiques ont été militarisées par de mauvais acteurs pour faire interdire les bons acteurs.

Lorsque les utilisateurs écrivent des demandes concernant des questions abusives comme celles-ci, il appartient à WhatsApp de répondre et d'agir (si nécessaire) en conséquence de manière rapide et agréable.

Bien sûr, si un utilisateur fait appel d'une interdiction qui a été provoquée par un rapport d'utilisateur, selon un modérateur, cela implique qu'un deuxième modérateur examine le contenu de l'utilisateur.

II. « Leaders de l'industrie » dans la détection des mauvais comportements

Dans les déclarations publiques et sur les sites Web de l'entreprise, Facebook Inc. est visiblement vague sur le processus de surveillance de WhatsApp. La société ne fournit pas de compte rendu régulier de la façon dont WhatsApp contrôle la plate-forme.

La page FAQ et le formulaire de plainte en ligne de WhatsApp indiquent qu'il recevra "les messages les plus récents" d'un utilisateur qui a été signalé.

Cependant, ils ne divulguent pas combien de messages non cryptés sont révélés lorsqu'un rapport est déposé, ni que ces messages sont examinés par des sous-traitants extérieurs. (WhatsApp a déclaré à ProPublica qu'il limite cette divulgation pour empêcher les contrevenants de "jouer" avec le système.)

En revanche, Facebook et Instagram publient de longs documents sur les « normes communautaires » détaillant les critères que ses modérateurs utilisent pour contrôler le contenu, ainsi que des articles et des vidéos sur « les héros non reconnus qui protègent Facebook » et des annonces sur de nouveaux sites de révision de contenu.

Les rapports de transparence de Facebook détaillent le nombre de contenus « traités » pour chaque type de violation. WhatsApp n'est pas inclus dans ce rapport.

Lorsqu'ils traitent avec les législateurs, les responsables de Facebook Inc. offrent également peu de détails, mais tiennent à les assurer qu'ils ne laissent pas le cryptage empêcher la protection des utilisateurs contre les images d'abus et d'exploitation sexuels d'enfants.

Par exemple, lorsque des membres du Comité judiciaire du Sénat ont interrogé Facebook sur l'impact du cryptage de ses plateformes, l'entreprise, dans des questions de suivi écrites en janvier 2020, a cité WhatsApp en se vantant qu'elle resterait sensible aux forces de l'ordre.

"Même dans un système crypté", a noté une réponse, "nous serons toujours en mesure de répondre aux demandes légales de métadonnées, y compris des informations de localisation ou de compte potentiellement critiques... Nous avons déjà un service de messagerie crypté, WhatsApp, qui - contrairement à certains d'autres services cryptés - fournit un moyen simple pour les gens de signaler des abus ou des problèmes de sécurité.

Effectivement, WhatsApp a signalé 400 000 cas d'images possibles d'exploitation d'enfants au Centre national pour les enfants disparus et exploités en 2020, selon son chef, Cathcart.

C'était dix fois plus qu'en 2019. "Nous sommes de loin les leaders du secteur dans la recherche et la détection de ce comportement dans un service chiffré de bout en bout", a-t-il déclaré.

Au cours de son entretien YouTube avec le groupe de réflexion australien, Cathcart a également décrit la dépendance de WhatsApp aux rapports des utilisateurs et la capacité de ses systèmes d'IA à examiner les informations de compte qui ne sont pas soumises au cryptage.

Interrogé sur le nombre d'employés employés par WhatsApp pour enquêter sur les plaintes d'abus d'une application comptant plus de deux milliards d'utilisateurs, Cathcart n'a pas mentionné les modérateurs de contenu ni leur accès au contenu crypté.

"Il y a beaucoup de gens sur Facebook qui aident avec WhatsApp", a-t-il expliqué. "Si vous regardez les personnes qui travaillent à plein temps sur WhatsApp, c'est plus d'un millier. Je n'entrerai pas dans la description complète du service client, des rapports d'utilisateurs, de l'ingénierie, etc. Mais c'est beaucoup de cela.

Dans des réponses écrites à cet article, le porte-parole de la société a déclaré : « Nous construisons WhatsApp d'une manière qui limite les données que nous collectons tout en nous fournissant des outils pour empêcher le spam, enquêter sur les menaces et interdire ceux qui se livrent à des abus, notamment sur la base des rapports d'utilisateurs que nous recevons. . Ce travail demande des efforts extraordinaires de la part d'experts en sécurité et d'une précieuse équipe de confiance et de sécurité qui travaille sans relâche pour aider à fournir au monde une communication privée.

Le porte-parole a noté que WhatsApp a publié de nouvelles fonctionnalités de confidentialité, y compris "plus de contrôles sur la façon dont les messages des gens peuvent disparaître" ou être consultés une seule fois.

Il a ajouté : "Sur la base des commentaires que nous avons reçus des utilisateurs, nous sommes convaincus que les gens comprennent que lorsqu'ils font des signalements à WhatsApp, nous recevons le contenu qu'ils nous envoient."

III. « Tromper les utilisateurs » à propos de la confidentialité personnelle

Depuis le moment où Facebook a annoncé son intention d'acheter WhatsApp en 2014, les observateurs se sont demandé comment le service, connu pour son fervent engagement en matière de confidentialité, se comporterait au sein d'une société connue pour le contraire.

Zuckerberg était devenu l'une des personnes les plus riches de la planète en utilisant une approche de « capitalisme de surveillance » : collecter et exploiter des tonnes de données d'utilisateurs pour vendre des publicités numériques ciblées.

La poursuite incessante de croissance et de profits de Facebook a généré une série de scandales de confidentialité dans lesquels il a été accusé de tromper les clients et les régulateurs.

En revanche, WhatsApp savait peu de choses sur ses utilisateurs en dehors de leurs numéros de téléphone et ne partageait aucune de ces informations avec des tiers. WhatsApp n'a diffusé aucune publicité et ses co-fondateurs, Jan Koum et Brian Acton, tous deux anciens ingénieurs de Yahoo, leur étaient hostiles.

"Dans chaque entreprise qui vend des publicités", écrivaient-ils en 2012, "une partie importante de leur équipe d'ingénieurs passe sa journée à régler l'exploration de données, à écrire un meilleur code pour collecter toutes vos données personnelles, à mettre à niveau les serveurs qui contiennent toutes les données et à s'assurer tout est enregistré, rassemblé, tranché, emballé et expédié », ajoutant : « N'oubliez pas que lorsque la publicité est impliquée, vous, l'utilisateur, êtes le produit.

Chez WhatsApp, ont-ils noté, "vos données ne sont même pas dans l'image. Nous ne sommes tout simplement pas intéressés par tout cela.

Zuckerberg a publiquement juré dans un discours liminaire de 2014 qu'il garderait WhatsApp "exactement le même".

Il a déclaré: «Nous n'allons absolument pas changer les plans concernant WhatsApp et la façon dont il utilise les données des utilisateurs. WhatsApp va fonctionner de manière complètement autonome.

En avril 2016, WhatsApp a achevé son adoption planifiée de longue date du cryptage de bout en bout, qui a contribué à faire de l'application une plate-forme de communication prisée dans 180 pays, dont beaucoup où les SMS et les appels téléphoniques sont d'un coût prohibitif.

Des dissidents internationaux, des dénonciateurs et des journalistes se sont également tournés vers WhatsApp pour échapper aux écoutes clandestines du gouvernement.

Quatre mois plus tard, cependant, WhatsApp a révélé qu'il commencerait à partager les données des utilisateurs avec Facebook – précisément ce que Zuckerberg avait dit ne se produirait pas – une décision qui a ouvert la voie à une série de futurs plans générateurs de revenus.

Les nouvelles conditions d'utilisation de WhatsApp indiquent que l'application partagera des informations telles que les numéros de téléphone des utilisateurs, les photos de profil, les messages d'état et les adresses IP à des fins de ciblage publicitaire, de lutte contre le spam et les abus et de collecte de mesures.

"En connectant votre numéro de téléphone aux systèmes de Facebook", a expliqué WhatsApp, "Facebook peut proposer de meilleures suggestions d'amis et vous montrer des publicités plus pertinentes si vous avez un compte avec eux."

De telles actions amenaient de plus en plus Facebook dans le collimateur des régulateurs. En mai 2017, les régulateurs antitrust de l'Union européenne ont infligé une amende de 110 millions d'euros (environ 122 millions de dollars) à la société pour avoir prétendu à tort trois ans plus tôt qu'il serait impossible de lier les informations de l'utilisateur entre WhatsApp et la famille d'applications Facebook.

L'UE a conclu que Facebook avait "intentionnellement ou par négligence" trompé les régulateurs. Facebook a insisté sur le fait que ses fausses déclarations en 2014 n'étaient pas intentionnelles, mais n'a pas contesté l'amende.

Au printemps 2018, les co-fondateurs de WhatsApp, désormais tous deux milliardaires, avaient disparu.

Acton, dans ce qu'il a décrit plus tard comme un acte de "pénitence" pour le "crime" de vente de WhatsApp à Facebook, a donné 50 millions de dollars à une fondation soutenant Signal, une application de messagerie cryptée gratuite qui allait devenir un rival de WhatsApp. (Le fonds conseillé par les donateurs d'Acton a également donné de l'argent à ProPublica.)

Pendant ce temps, Facebook était sous le feu des critiques pour ses failles de sécurité et de confidentialité comme jamais auparavant. La pression a abouti à une amende historique de 5 milliards de dollars par la Federal Trade Commission en juillet 2019 pour violation d'un accord antérieur visant à protéger la vie privée des utilisateurs.

Selon la FTC, l'amende était près de 20 fois plus élevée que toute autre sanction liée à la confidentialité, et les transgressions de Facebook comprenaient "tromper les utilisateurs sur leur capacité à contrôler la confidentialité de leurs informations personnelles".

La FTC a annoncé qu'elle ordonnait à Facebook de prendre des mesures pour protéger la vie privée à l'avenir, y compris pour les utilisateurs de WhatsApp : "Dans le cadre du programme de confidentialité mandaté par Facebook, qui couvre WhatsApp et Instagram, Facebook doit procéder à un examen de la confidentialité de chaque nouveau ou modifié produit, service ou pratique avant sa mise en œuvre, et documenter ses décisions concernant la confidentialité des utilisateurs.

Les responsables de la conformité seraient tenus de générer un "rapport trimestriel d'examen de la confidentialité" et de le partager avec l'entreprise et, sur demande, avec la FTC.

Facebook a accepté l'amende et l'ordonnance de la FTC. En effet, les négociations de cet accord ont été la toile de fond, quatre mois auparavant, pour l'annonce par Zuckerberg de son nouvel engagement en matière de confidentialité.

À ce stade, WhatsApp avait commencé à utiliser Accenture et d'autres sous-traitants externes pour embaucher des centaines de réviseurs de contenu. Mais l'entreprise était impatiente de ne pas marcher sur son message de confidentialité plus large - ou d'effrayer sa base d'utilisateurs mondiale.

Il n'a rien dit publiquement au sujet de son embauche d'entrepreneurs pour examiner le contenu.

IV. "Nous tuons des gens sur la base de métadonnées"

Alors même que Zuckerberg vantait le nouvel engagement de Facebook Inc. en matière de confidentialité en 2019, il n'a pas mentionné que son entreprise partageait apparemment plus de métadonnées de ses utilisateurs WhatsApp que jamais avec la société mère – et avec les forces de l'ordre.

Pour l'oreille profane, le terme « métadonnées » peut sembler abstrait, un mot qui évoque l'intersection de la critique littéraire et des statistiques.

Pour utiliser une ancienne analogie pré-numérique, les métadonnées sont l'équivalent de ce qui est écrit à l'extérieur d'une enveloppe - les noms et adresses de l'expéditeur et du destinataire et le cachet de la poste indiquant où et quand il a été envoyé - tandis que le "contenu" est ce qui est écrit sur la lettre scellée à l'intérieur de l'enveloppe.

Il en va de même pour les messages WhatsApp : le contenu est protégé, mais l'enveloppe révèle une multitude de détails révélateurs (comme indiqué : horodatages, numéros de téléphone et bien plus encore).

Ceux qui travaillent dans les domaines de l'information et du renseignement comprennent à quel point ces informations peuvent être cruciales. C'était des métadonnées, après tout, que l'Agence de sécurité nationale rassemblait environ des millions d'Américains non soupçonnés d'un crime, provoquant un tollé mondial lorsqu'elle a été révélée en 2013 par l'ancien sous-traitant de la NSA Edward Snowden.

"Les métadonnées vous disent absolument tout sur la vie de quelqu'un", a dit un jour l'ancien avocat général de la NSA, Stewart Baker. "Si vous avez suffisamment de métadonnées, vous n'avez pas vraiment besoin de contenu."

Lors d'un symposium à l'Université Johns Hopkins en 2014, le général Michael Hayden, ancien directeur de la CIA et de la NSA, est allé encore plus loin : « Nous tuons des gens sur la base de métadonnées.

Les forces de l'ordre américaines ont utilisé les métadonnées de WhatsApp pour aider à mettre des gens en prison. ProPublica a trouvé plus d'une douzaine de cas dans lesquels le ministère de la Justice a demandé des ordonnances judiciaires pour les métadonnées de la plateforme depuis 2017.

Celles-ci représentent une fraction des demandes globales, appelées commandes de registre de stylo (une expression empruntée à la technologie utilisée pour suivre les numéros composés par les téléphones fixes), car beaucoup d'autres sont tenues à l'écart du public par ordonnance du tribunal.

Les demandes de données du gouvernement américain sur les messages sortants et entrants de toutes les plateformes Facebook ont ​​augmenté de 276 % entre le premier semestre 2017 et le second semestre 2020, selon les statistiques de Facebook Inc. (qui ne répartissent pas les chiffres par plateforme).

Le taux de transmission par l'entreprise d'au moins certaines données en réponse à de telles demandes est passé de 84 % à 95 % au cours de cette période.

On ne sait pas exactement ce que les enquêteurs du gouvernement ont pu recueillir de WhatsApp, car les résultats de ces ordonnances sont également souvent cachés au public. En interne, WhatsApp appelle ces demandes d'informations sur les utilisateurs "paires de messages potentiels" ou PMP.

Ceux-ci fournissent des données sur les modèles de messagerie d'un utilisateur en réponse aux demandes des forces de l'ordre américaines, ainsi que celles d'au moins trois autres pays - le Royaume-Uni, le Brésil et l'Inde - selon une personne proche du dossier qui a partagé ces informations sur condition d'anonymat.

Les demandes d'application de la loi provenant d'autres pays peuvent ne recevoir que des informations de base sur le profil de l'abonné.

Les métadonnées de WhatsApp ont joué un rôle central dans l'arrestation et la condamnation de Natalie "May" Edwards, une ancienne fonctionnaire du département du Trésor du Financial Crimes Enforcement Network, pour avoir divulgué des rapports bancaires confidentiels sur des transactions suspectes à BuzzFeed News.

La plainte pénale du FBI détaille des centaines de messages entre Edwards et un journaliste de BuzzFeed utilisant une "application cryptée", dont les entretiens et les archives judiciaires ont confirmé qu'il s'agissait de WhatsApp.

"Le ou vers le 1er août 2018, dans les six heures environ suivant la mise en service du stylo Edwards - et le lendemain de la publication de l' article Buzzfeed de juillet 2018 - le téléphone portable Edwards a échangé environ 70 messages via l'application cryptée avec le téléphone portable Reporter-1 pendant une période d'environ 20 minutes entre 00h33 et 00h54 », a écrit l'agent spécial du FBI Emily Eckstut dans sa plainte d'octobre 2018. Edwards et le journaliste ont utilisé WhatsApp parce qu'Edwards pensait que la plate-forme était sécurisée, selon une personne proche du dossier.

Edwards a été condamné le 3 juin à six mois de prison après avoir plaidé coupable à une accusation de complot et s'est présenté à la prison la semaine dernière . L'avocat d'Edwards a refusé de commenter, tout comme les représentants du FBI et du ministère de la Justice.

WhatsApp a pendant des années minimisé la quantité d'informations non cryptées qu'il partage avec les forces de l'ordre, limitant largement les mentions de la pratique à un langage standard enfoui profondément dans ses conditions de service.

Il ne conserve pas systématiquement de journaux permanents des utilisateurs avec lesquels ils communiquent et à quelle fréquence, mais les responsables de l'entreprise ont confirmé qu'ils activent ce suivi à leur propre discrétion - même pour les enquêtes internes sur les fuites de Facebook - ou en réponse aux demandes des forces de l'ordre.

La société a refusé de dire à ProPublica à quelle fréquence elle le fait.

La page de confidentialité de WhatsApp garantit aux utilisateurs qu'ils ont un contrôle total sur leurs propres métadonnées. Il indique que les utilisateurs peuvent "décider si seuls les contacts, tout le monde ou personne peuvent voir votre photo de profil" ou quand ils ont ouvert pour la dernière fois leurs mises à jour de statut ou quand ils ont ouvert l'application pour la dernière fois.

Quels que soient les paramètres choisis par un utilisateur, WhatsApp collecte et analyse toutes ces données - un fait qui n'est mentionné nulle part sur la page.

V. "Ouvrir l'ouverture pour englober les objectifs commerciaux"

Le conflit entre confidentialité et sécurité sur les plateformes cryptées semble ne faire que s'intensifier. Les forces de l'ordre et les défenseurs de la sécurité des enfants ont exhorté Zuckerberg à abandonner son projet de crypter toutes les plateformes de messagerie de Facebook.

En juin 2020, trois sénateurs républicains ont présenté la «Loi sur l'accès légal aux données cryptées», qui obligerait les entreprises technologiques à aider à fournir un accès même au contenu crypté en réponse aux mandats d'application de la loi.

Pour sa part, WhatsApp a récemment poursuivi le gouvernement indien pour bloquer son exigence selon laquelle les applications cryptées fournissent une «traçabilité» – une méthode pour identifier l'expéditeur de tout message jugé pertinent pour les forces de l'ordre. WhatsApp a combattu des demandes similaires dans d'autres pays.

D'autres plates-formes cryptées adoptent une approche très différente de WhatsApp pour surveiller leurs utilisateurs. Signal n'emploie aucun modérateur de contenu, collecte beaucoup moins de données d'utilisateurs et de groupes, n'autorise aucune sauvegarde dans le cloud et rejette généralement l'idée qu'il devrait contrôler les activités des utilisateurs.

Il ne soumet aucun rapport d'exploitation d'enfants au NCMEC.

Apple a présenté son engagement envers la confidentialité comme un argument de vente. Son système iMessage affiche un bouton "rapport" uniquement pour alerter l'entreprise en cas de spam suspecté, et l'entreprise n'a fait que quelques centaines de rapports annuels au NCMEC, tous provenant de l'analyse des e-mails sortants, qui ne sont pas cryptés.

Mais Apple a récemment adopté une nouvelle approche et a semblé trébucher en cours de route. Au milieu de la pression croissante du Congrès, en août, la société a annoncé un nouveau système complexe pour identifier les images exploitant les enfants sur les sauvegardes iCloud des utilisateurs.

Apple a insisté sur le fait que le nouveau système ne représentait aucune menace pour le contenu privé, mais les défenseurs de la vie privée ont accusé l'entreprise de créer une porte dérobée qui permet potentiellement aux gouvernements autoritaires d'exiger des recherches de contenu plus larges, ce qui pourrait entraîner le ciblage de dissidents, de journalistes ou d'autres critiques de l'État.

Le 3 septembre, Apple a annoncé qu'il retarderait la mise en œuvre du nouveau système.

Pourtant, c'est Facebook qui semble faire face au scepticisme le plus constant parmi les principales plateformes technologiques. Selon Lloyd Richardson, directeur de l'informatique au Centre canadien de protection de l'enfance, il utilise le cryptage pour se présenter comme respectueux de la vie privée, tout en disant peu de choses sur les autres façons dont il collecte les données.

"Toute cette idée qu'ils le font pour la protection personnelle des personnes est complètement ridicule", a déclaré Richardson.

"Vous faites confiance à une application détenue et écrite par Facebook pour faire exactement ce qu'ils disent. Faites-vous confiance à cette entité pour le faire ? » (Le 2 septembre, les autorités irlandaises ont annoncé qu'elles infligeaient une amende de 225 millions d'euros à WhatsApp, soit environ 267 millions de dollars, pour avoir omis de divulguer correctement comment l'entreprise partage les informations des utilisateurs avec d'autres plateformes Facebook. WhatsApp conteste cette décision.)

L'accent mis par Facebook sur la promotion de WhatsApp en tant que modèle de confidentialité est évident dans le document marketing de décembre obtenu par ProPublica.

La présentation «Brand Foundations» indique qu'elle est le produit d'une équipe mondiale de 21 membres répartis sur tout Facebook, impliquant une demi-douzaine d'ateliers, des recherches quantitatives, des «entretiens avec des parties prenantes» et des «brainstorms sans fin».

Son objectif : offrir "une articulation émotionnelle" des avantages de WhatsApp, "une boîte à outils inspirante qui nous aide à raconter notre histoire" et un "objectif de marque pour défendre le lien humain profond qui mène au progrès".

La plate-forme marketing identifie un sentiment de "proximité" comme le "territoire émotionnel propre" de WhatsApp, affirmant que l'application offre "ce qui se rapproche le plus d'une conversation en personne".

WhatsApp devrait se présenter comme "courageux", selon une autre diapositive, car il "adopte une position publique forte qui n'est pas financièrement motivée sur des choses qui nous tiennent à cœur", comme la défense du cryptage et la lutte contre la désinformation.

Mais la présentation parle aussi de la nécessité « d'ouvrir l'ouverture de la marque pour englober nos futurs objectifs commerciaux. Même si la confidentialité restera importante, nous devons tenir compte des innovations futures. »

WhatsApp est maintenant au milieu d'une campagne majeure pour gagner de l'argent. Il a connu un début difficile, en partie à cause de larges soupçons sur la façon dont WhatsApp équilibrera la confidentialité et les bénéfices.

Un plan annoncé pour commencer à diffuser des publicités dans l'application n'a pas aidé ; il a été abandonné fin 2019, quelques jours seulement avant son lancement.

Début janvier, WhatsApp a dévoilé un changement dans sa politique de confidentialité - accompagné d'un délai d'un mois pour accepter la politique ou être coupé de l'application. Cette décision a déclenché une révolte, poussant des dizaines de millions d'utilisateurs à fuir vers des rivaux tels que Signal et Telegram.

Le changement de politique s'est concentré sur la manière dont les messages et les données seraient traités lorsque les utilisateurs communiquent avec une entreprise dans la gamme en constante expansion des offres WhatsApp Business.

Les entreprises peuvent désormais stocker leurs discussions avec les utilisateurs et utiliser les informations sur les utilisateurs à des fins de marketing, notamment en les ciblant avec des publicités sur Facebook ou Instagram.

Elon Musk a tweeté « Use Signal » et les utilisateurs de WhatsApp se sont rebellés. Facebook a retardé de trois mois l'obligation pour les utilisateurs d'approuver la mise à jour de la politique.

Entre-temps, il a eu du mal à convaincre les utilisateurs que le changement n'aurait aucun effet sur la protection de la vie privée de leurs communications personnelles , avec une version légèrement modifiée de son assurance habituelle : "WhatsApp ne peut pas voir vos messages personnels ni entendre vos appels et Facebook non plus". .”

Tout comme lorsque l'entreprise a acheté WhatsApp pour la première fois des années auparavant, le message était le même : faites-nous confiance.

Correction

10 septembre 2021 : Cette histoire indiquait à l'origine de manière incorrecte que le système iMessage d'Apple n'avait pas de bouton "rapporter". Le système iMessage dispose d'un bouton de rapport, mais uniquement pour les spams suspectés (pas pour les contenus abusifs suspectés).

Photo par Eyestetix Studio sur Unsplash