Instagram: une entreprise de marketing a aspiré les données de millions d’utilisateurs

Un an après le scandale Cambridge Analytica, Facebook se retrouve mouillé dans une nouvelle affaire, liée cette fois à Instagram, qu'il a racheté en 2012. Une start-up de marketing basée à San Francisco, Hyp3r, a récolté illégalement des millions d'informations sensibles sur des utilisateurs Instagram telles que leurs stories (photos ou vidéos visibles pendant 24 heures) ou leur géolocalisation, révèle Business Insider. Elle s'est ensuite constituée une large base de données, utilisée par ses clients pour faire de la publicité ciblée. 

L’entreprise Hyp3r était l’un des "partenaires marketing" privilégiés d’Instagram. Mais sous le nez du réseau social et ce pendant plusieurs mois, elle a ostensiblement enfreint ses règles d’utilisation. Après les révélations de Business Insider, la plateforme a mis fin à la collaboration.

"Les actions de Hyp3r n'ont pas été sanctionnées et violent nos politiques. Par conséquent, nous les avons retirés de notre plateforme. Nous avons également fait des changements qui devraient empêcher d'autres entreprises d’agir de la même manière", a déclaré un porte-parole dans un communiqué transmis au média américain.

Quelle est cette entreprise ? 

Hyp3r n’est pas n’importe quelle start-up. Créée en 2015, elle a déjà levé des dizaines de millions de dollars et a été récompensée à plusieurs reprises, notamment par le magazine Fast Company en 2019 au titre de "l’entreprise la plus innovante".

Parmi ses clients, on retrouve des grands pontes comme Pepsi ou le groupe hôtelier américain Marriott International. Hyp3r se vante de leur proposer un ciblage publicitaire efficace grâce à la géolocalisation de centaines de millions d'utilisateurs. La firme reconnaît par ailleurs que 90% de ces informations proviennent d’Instagram.

Quelles données sont concernées ? 

Hyp3r a construit son business autour des données de localisation. Informations qu’elle pouvait récolter en toute légalité avant le scandale Cambridge Analytica (pour rappel, l’affaire a révélé que les données de 87 millions d’utilisateurs Facebook avaient été utilisées pour du ciblage publicitaire sur des électeurs indécis dans le but de favoriser la candidature de Donald Trump). Après cela, Facebook a fermé les écoutilles. Les développeurs ne peuvent désormais plus récolter d’images publiées depuis un lieu précis, comme à l’hôtel Marriott des Champs-Elysées par exemple.

Publiquement, la start-up Hyp3r a assuré "comprendre" la décision de Facebook. Mais ce fut une toute autre histoire en coulisses: elle a développé un outil pour récupérer coûte que coûte ces données. Et ça a marché, ont certifié plusieurs sources à Business Insider. Mais Hyp3r ne s’est pas contenté des photos. L’entreprise a aussi créé un programme capable de sauvegarder les stories des utilisateurs lambda publiées à un endroit précis. Ce qui n’a jamais été autorisé par le réseau social.

En quoi est-ce problématique ? 

Une photo de vacances publiée sur la Promenade des Anglais n’est pas une information sensible. Mais si on ajoute le selfie pris chez le coiffeur, la story publiée depuis le cabinet du dentiste ou celle prise pendant un dîner entre amis, il devient très facile pour un tiers de déduire les centres d’intérêts de l’utilisateur, ses craintes, ses problèmes de santé… Autant d’informations précieuses que les annonceurs pourront utiliser. 

Comment ont été utilisées ces données ?

Pour la publicité, d’une part. Si l’hôtel Marriott cherche à séduire de nouveaux clients, il peut viser grâce à Hyp3r tous les utilisateurs qui ont visité des établissements similaires. Et qui sont donc susceptibles d’avoir les moyens de s’offrir une chambre dans un cinq étoiles.

Hyp3r avait également développé un outil pour permettre à ses clients d’accéder à tous les contenus publiés depuis un lieu précis. Ils avaient alors la possibilité de répondre directement aux commentaires, ce qui est impossible pour une application développée légalement avec l’API (l’interface de programmation qui permet aux développeurs d’utiliser certaines fonctionnalités d’une plateforme) d’Instagram. C’est notamment grâce à cet outil qu’il est possible de se connecter à Spotify avec son compte Facebook par exemple.

Par ailleurs, Hyp3r a profité d’une faille de sécurité d'Instagram pour collecter des données de localisation auxquelles elle n’était plus censée avoir accès. Un problème qui n’est toujours pas résolu. En tout cas, cette affaire montre que Facebook peine encore à sécuriser les informations de ses utilisateurs, même un an après le scandale qui a fait trembler les Etats-Unis.