Où Facebook stocke mes photos privées ?

Les photos que vous envoyez sur Facebook ne sont pas stockées comme vos autres données privées (date de naissance, etc…). Elles sont copiées et hébergées sur ce que l’on appelle des CDN, qui sont des serveurs de proximité , afin réduire le coût en bande passante pour Facebook et augmenter la vitesse de chargement des photos pour vous.

Pour le constater, c’est simple, prenez une photo privée de quelqu’un et regarder son adresse Internet (avec Firefox : clic droit sur l’image -> « copier l’adresse de l’image »). Vous verrez que l’image est stockée chez akamaihd.net

Vous devez donc avoir compris que votre photo « privée » est en réalité copiée en quelques secondes sur des centaines de serveurs repartis dans le monde ! Chaque pays ayant sa propre législation pour piocher dans vos données et chaque machine son intermédiaire technique de confiance qui a un accès complet aux données. Je ne suis pas sûr que la confidentialité de votre photo « privée » ait un gros poids face aux bénéfices du CDN.

Ensuite vous aurez compris que les photos sont accessibles à tout le monde qui en connaîtrait l’adresse. Il n’y aucune forme d’authentification. Toutes les photos de tous les utilisateurs de Facebook sont disponibles en permanence sur Internet et peuvent être téléchargées par n’importe qui…  à la seule condition de connaître l’adresse complète de l’image. Il est heureusement quasi impossible de générer un adresse d’image valide par hasard d’un point de vue statistique. C’est la longueur de l’adresse web aléatoire qui constitue la difficulté d’accès et les photos étant demandées en HTTPS par l’interface web de Facebook, on ne peut pas, à ma connaissance, sniffer les adresses des photos (sauf faille dans le moyen de chiffrement).

Mais le plus drôle, c’est que si vous supprimez votre photo « privée » de votre compte Facebook, celle-ci reste sur les serveurs du CDN. J’ai fait un test en envoyant un photo privée que je n’ai partagée avec personne (visible par « moi uniquement »), je l’ai supprimée juste après l’avoir envoyée. Ça fait maintenant 2 semaines que je l’ai supprimée et elle est toujours disponible sur le web…

A coté de ça vous avez des solutions comme Owncloud, qui utilisent la même technique d’adresse longue et aléatoire pour partager du contenu confidentiel. Mais c’est uniquement si on souhaite partager le contenu sans demander de mot de passe. Et lorsque l’on décide de ne plus partager le contenu, le lien n’est plus valide, immédiatement. On peut même mettre des dates d’expiration au lien ;-)

13 Comments

Add a Comment