Les photos que vous envoyez sur Facebook ne sont pas stockées comme vos autres données privées (date de naissance, etc…). Elles sont copiées et hébergées sur ce que l’on appelle des CDN, qui sont des serveurs de proximité , afin réduire le coût en bande passante pour Facebook et augmenter la vitesse de chargement des photos pour vous.
Pour le constater, c’est simple, prenez une photo privée de quelqu’un et regarder son adresse Internet (avec Firefox : clic droit sur l’image -> « copier l’adresse de l’image »). Vous verrez que l’image est stockée chez akamaihd.net
Vous devez donc avoir compris que votre photo « privée » est en réalité copiée en quelques secondes sur des centaines de serveurs repartis dans le monde ! Chaque pays ayant sa propre législation pour piocher dans vos données et chaque machine son intermédiaire technique de confiance qui a un accès complet aux données. Je ne suis pas sûr que la confidentialité de votre photo « privée » ait un gros poids face aux bénéfices du CDN.
Ensuite vous aurez compris que les photos sont accessibles à tout le monde qui en connaîtrait l’adresse. Il n’y aucune forme d’authentification. Toutes les photos de tous les utilisateurs de Facebook sont disponibles en permanence sur Internet et peuvent être téléchargées par n’importe qui… à la seule condition de connaître l’adresse complète de l’image. Il est heureusement quasi impossible de générer un adresse d’image valide par hasard d’un point de vue statistique. C’est la longueur de l’adresse web aléatoire qui constitue la difficulté d’accès et les photos étant demandées en HTTPS par l’interface web de Facebook, on ne peut pas, à ma connaissance, sniffer les adresses des photos (sauf faille dans le moyen de chiffrement).
Mais le plus drôle, c’est que si vous supprimez votre photo « privée » de votre compte Facebook, celle-ci reste sur les serveurs du CDN. J’ai fait un test en envoyant un photo privée que je n’ai partagée avec personne (visible par « moi uniquement »), je l’ai supprimée juste après l’avoir envoyée. Ça fait maintenant 2 semaines que je l’ai supprimée et elle est toujours disponible sur le web…
A coté de ça vous avez des solutions comme Owncloud, qui utilisent la même technique d’adresse longue et aléatoire pour partager du contenu confidentiel. Mais c’est uniquement si on souhaite partager le contenu sans demander de mot de passe. Et lorsque l’on décide de ne plus partager le contenu, le lien n’est plus valide, immédiatement. On peut même mettre des dates d’expiration au lien ;-)
Superbe démonstration. Merci beaucoup.
Bonjour
Owncloud n’a rien à voir avec un réseau social, donc le parallèle n’est pas utile du tout. Mme michu ne va pas prendre un mutualisé pour y foutre un owncloud et partager ses photos elle continuera à les mettre sur facebook.
Salut,
bon billet, par contre quand tu dis « Il n’y aucune forme d’authentification » et « Toutes les photos de tous les utilisateurs de Facebook sont disponibles en permanence sur Internet et peuvent être téléchargées par n’importe qui », c’est pas tout à fait vrai. L’identifiant dans l’url est une forme… d’identification justement, c’est équivalent à un mot de passe, comme d’ailleurs tu le montres juste après. Donc n’importe qui *qui a l’url* et donc l’identifiant (soit le mot de passe), peut voir l’image.
Évidemment si l’url circule, ça revient à donner son mot de passe à tout le monde, mais en pratique le cas est plutôt rare puisqu’on n’a pas trop tendance à jouer avec l’url du CDN. C’est une forme d’identification moins forte que de vérifier que la personne qui lit la photo a un compte ayant droit de lecture, mais ça reste une forme d’identification.
Ce détail mis à part, c’est une bonne chose de vulgariser le fonctionnement technique, une meilleure compréhension permet de mieux (ne pas) utiliser les outils.
Très intéressant et très flippant. Merci pour la démonstration.
Une démonstration qui rappelle que ce qui est privé, qu’on ne veut pas voir en ligne, il suffit de ne jamais le mettre… Internet étant un espace publique, impossible de garantir la confidentialité d’une information. À un moment ou à un autre, (tout est question de temps), ce qui l’es aujourd’hui, peut ne pas l’être demain, dans 2 ans (failles/piratage – connu ou inconnu…). De plus, sur Internet, tout est/peut être dupliqué à l’illimité, comme cet article le montre. Rien ne peut garantir la réelle suppression. La confidentialité sur Facebook (ou autre) est une illusion, suffit de voir PRISM, le Patriot-Act, la NSA en général…
C’est pas tout à fait vrai pour Akamaihd, je viens de tester avec une photo publiée sur la page de Top Achat, et c’est hébergé sur fbcdn.net : https://scontent-ams3-1.xx.fbcdn.net/hphotos-xft1/v/t1.0-9/10406440_10153039970285426_7221803782158246500_n.jpg?oh=608cf3e45078b88669c8388c3baa1b7e&oe=56CAE690
Après, l’url ne dis pas que c’est pas chez quelqu’un d’autre.
Ce qu’il est intéressant de noter, c’est que même si l’URL complexe est une forme de protection du contenu, plaçant celui-ci dans le « web profond », il n’y aucune possibilité de révocation.
Une fois l’adresse diffusée, tu peux toujours activer ce que tu veux comme option de confidentialité, ça ne sert à rien.
Tu y es, tu y reste…
Petite erreur dans l’intro :
Remplacer ceci :
« réduire le coût en bande passante pour Facebook et la vitesse de chargement des photos pour vous »
Par cela :
« réduire le coût en bande passante pour Facebook et la durée de chargement des photos pour vous »
ou :
« réduire le coût en bande passante pour Facebook et augmenter la vitesse de chargement des photos pour vous »
Sinon il y a la solution Framasoft/Lutim http://lut.im/ qui permet de gérer ses partages de photos/image. Il y a même l’application libre Goblim qui en simplifie l’usage pour Android/… : http://gobl.im/ (désolés pour l’auto-promotion mais si c’est pour du libre et pour reprendre le contrôle de ses données…)
@Yann: merci, c’est corrigé !
@Goblim: Pas de soucis pour l’auto-promo. J’ai rajouté des liens dans ton commentaire ;-)
Ping Où sont stockées vos données sur iCloud? – Tuxicoman
@goffi> authentification et identification sont deux choses bien distinctes et ni l’une, ni l’autre ne sont applicable à l’exemple que tu donnes.
http://security.stackexchange.com/questions/10933/difference-between-authentication-and-identification-crypto-and-security-perspe#10936
Je ne sais pas si ils ont changés ça, mais auparavant l’URL d’une photo postée sur facebook contenant l’UID du compte facebook utilisé pour poster la photo, donc oui il y avait (a?) bien un identifiant dans l’URL de la photo et pas un mot de passe, et inversement à partir d’une URL de photo postée sur facebook c’était possible de faire de vilaines choses à la vie privée (à lépoque il y avait un script qui permettait de récupérer la quasi totalité des photos d’un compte à partir de l’UID peu importe qu’elles soient marquées privée ou pas, et c’est justement parce qu’elles sont toutes accessibles de manière publique du moment qu’on peut deviner l’URL ou toutes les tester).