Comprendre le moteur de recherche intrusif de Facebook : Graph Search

Alertée sur une nouveauté Facebook !

Le concept de Graph Search : un moteur de recherche amélioré sur Facebook, recoupant les données personnelles des utilisateurs pour des résultats plus précis en fonction de leurs amis, photos, lieux et centres d’intérêt.

GraphSearch se révèle très intrusif. Il permet de faire des recherches croisées sur l’ensemble des données renseignées par les utilisateurs de Facebook (pages "aimées", lieux "visités", entreprises dans lesquelles ils ont travaillé…).

Le type d’exemple donné pour la présentation serait du style : "quels sont les restaurants que mes amis aiment à Toulouse ? Le moteur affiche alors une liste de restaurants que mes amis ont "aimé", depuis qu’ils sont inscrits sur Facebook… s’ils n’ont pas précisé que ces résultats devaient rester privés." Pour un restaurant, ce n’est pas problématique mais d’autres questions montrent l’intrusion

Graph Search a commencé à être déployé pour les utilisateurs de Facebook en langue anglaise et Tom Scott, très intéressé par les problèmes de confidentialité de Facebook, s’est amusé à des recherches moins consensuelles que celle de la présentation officielle. Les résultats lui ont paru si "flippants" (creepy) qu’il a ouvert un TumblR pour répertorier sur les résultats de recherches sur le Graph Search comme
- Les femmes célibataires qui vivent à proximité et qui sont intéressés par les hommes et aiment s’enivrer
- les hommes islamiques intéressés à des hommes qui vivent dans Téhéran, Iran avec Les lieux où ils ont travaillé
- Les gens mariés qui aiment prostituées avec les conjoints de ces personnes
- les entreprises qui emploient des personnes ayant indiqué sur Facebook qu’elles ‘aimaient’ le racisme ….

Ces exemples me dérangent mais une utilisation plus "normale" serait intéressante pour mettre en relation des utilisateurs en fonction de leurs intérêts d’une manière un peu nouvelle.
Donc pas d’effroi mais surveiller de manière toujours attentive les paramètres de confidentialité avant même l’arrivée pour la France de cet outils.
Et le problème reste des quantité de Je t’aime sur lequel on nous incite à cliquer et qu’on ne maîtrise plus

Aussi je vous conseille de creuser comme moi le post de Rezonances, le blog des médiateurs du quotidien Le Monde, qui s’est s’intéressé de près à Facebook Graph Search jusqu’à indiquer comment "protéger son compte Facebook avant l’arrivée de Graph Search" avec

1. Ce qu’est Graph Search,
2. Comment régler ses paramètres de vie privée sur Facebook et quels outils utiliser
3. Comment vérifier ses publications passées
4. Comment choisir ses amis/connaissances sur Facebook

en évoquant notamment 4 outils pour contrôler les paramètres de confidentialité Facebook  et les modifier en conséquence :

1. PrivacyFix, extension pour Chrome et Firefox, qui inspecte instantanément les paramètres de confidentialité de l’utilisateur dans Facebook, Google et autres sites internet et sociétés recueillant mes données
2. L’application Facebook Secure.me qui scrute l’activité Facebook et celles des amis et qui s’intéresse particulièrement aux applications tierces utilisées (et à leur sécurité)avec un assistant de confidentialité et de contrôle de la réputation
3. SimpleWash pour supprimer des contenus de son historique Facebook via un moteur de recherche interne (un module similaire pour Twitter en vue)
4. Disconnect.me, extension pour Firefox, Chrome et Safari, qui bloque les traceurs de Facebook, Google, LinkedIn, Yahoo et Facebook

et en donnant le test mis en ligne par la mairie de Paris pour bien utiliser tous les paramètres de sécurité sur Facebook qui renvoie à des fiches pratiques très bien faites pour parfaire sa configuration.

Savoir si mon compte Facebook est piraté

Se faire pirater son compte peut être très gênant, y compris quand ce sont nos amis qui trouvent ma session laissée ouverte par hasard et s’amusent à poster en monnom pour plaisanter.
Comme il est facile de se connecter à Facebook depuis chez soi mais aussi sur son téléphone portable, à son travail, chez des amis… Et il est tout aussi facile d’oublier de se déconnecter : on se retrouve avec plusieurs sessions ouvertes un peu partout.

Facebook garde en mémoire les adresses IP par lesquelles on accède. Pour surveiller les sessions actives et éventuellement les déconnecter à distance, il existe pour cela une fonctionnalité de voir quels lieux et quel type d’appareils

• Cliquer sur Accueil > Paramètres du compte
• Cliquer sur Sécurité à gauche
• Dans «Sessions actives» , cliquer sur le lien Modifier
  Les villes peuvent ne pas correspondre car elle sont fonction de l’adresse IP mais en toute logique elles ne sont pas loin du lieu de connexion.
  En cas de doute, désactiver l’activité d’un point d’accès. La session y sera déconnectée. Lors de ma prochaine connexion depuis ce point, je devrai saisir à nouveau login et mot de passe.
• Cliquer sur Fermer

Au cas ou il s’agirait d’un véritable piratage, je change mon mot de passe.

Une lettre d’information sur la sécurité économique pour les entreprises

Bercy lance une lettre d’information sur la sécurité économique pour les entreprises et elle est concise et précise sans être trop technique
La synthèse de ce 1er exemplaire se fait dans une fiche technique sur le thème : Encadrer les visiteurs et les délégations, avec risques potentiels et suggestion de mesures de prévention et de parades simples à mettre en place.

La fiche de synthèse proposée

"
Les risques
La plupart des vols de données sensibles sont commis sans effraction par des personnes qui ont eu libre accès au site. On parle alors « d’intrusion consentie ». Des stratagèmes visant à tromper l’attention des personnels d’accueil peuvent être élaborés.
Si les visites sont d’abord des opportunités, elles peuvent parfois masquer des intentions malveillantes. Aussi, la volonté de montrer son savoir-faire et ses compétences ne doit pas conduire à dévoiler des informations confidentielles"
Les parades
∗ Contrôler les accès par des moyens adaptés à la zone protégée : personnel d’accueil, registre de visite, badges, interphone, digicode, vidéo protection
∗ Limiter les accès à contrôler (accès fournisseurs, visiteurs, personnel), en assurer le filtrage et verrouiller les autres accès.
∗ Définir les zones ou pièces sensibles et fermer les accès lorsqu’elles sont inoccupées
∗ Définir une zone d’attente pour faire patienter les visiteurs
∗ Prévoir une procédure d’accueil des visiteurs
∗ Faire porter un badge bien identifié et spécifique aux visiteurs
∗ Recevoir les visiteurs dans une salle de réunion neutre
∗ Accompagner les visiteurs constamment
∗ Définir un circuit de visite préservant la confidentialité de certaines zones sensibles
∗ Ne pas permettre l’accès au réseau de l’entreprise (attention aux faux prétextes : consultations d’e-mails, lecture ou impression d’un document sur clé USB, etc.)
∗ Pour une visite de nouveaux partenaires, notamment étrangers, vérifier les motivations et le profil des visiteurs. Organiser la visite en conséquence.
∗ Ne pas hésiter pas à refuser de répondre à une question indiscrète, hors sujet ou hors de votre compétence
∗ Sensibiliser les personnels au respect des consignes (port du badge, etc.) et à la vigilance
"

et pour en lire plus

Désindexer son profil Facebook

Pour limiter les risques de voir votre vie "privée" fliquée à partir des moteurs de recherche par des employeurs actuels ou futurs, des collègues mal intentionnés, …. il existe une solution bien au chaud dans Facebook, peu connue du grand public.

Il faut configurer Facebook pour qu’il indique aux moteurs de recherche de ne pas indexer mon profil. Ainsi mes amis ne me trouveront que par Facebook.

• Accueil
• Paramètres de confidentialité
• Application et sites web et Modifier
• Recherche publique et Modifier les paramètres
• Recherche publique et Modifier
• Décocher la case

Facebook demande confirmation
Le résultat arrive au bout de plusieurs jours, le temps que les moteurs de recherche actualisent leur index.

Pour pister les sites suspects

Il est très facile de se retrouver sur un site proposant des fichiers dangereux à télécharger, intégrant des scripts malicieux pour compromettre la sécurité de l’ordinateur ou voler des données privées, etc.
Avec le logiciel WOT, grâce à une petite icône, je sais d’un coup d’œil la confiance accordée à la page affichée.

1. Aller à l’adresse suivante
2. Placer la souris sur le lien dragging this link to your bookmarks et faire glisser le lien dans la barre de favoris du navigateur.
3. Cliquer avec le bouton droit sur le raccourci créé et choisir Modifier pour renommez le favori puis OK.
   

Quand on est sur une page, il suffit de cliquer sur ce favori pour savoir si le site est sérieux.

Avec Firefox, voir ici
Avec Internet Explorer, voir la

Analyser un fichier suspect depuis un navigateur Web

Environ 20 antivirus parmi les plus connus analysent le fichier soumis. Parmi ces antivirus, Avast!, AVG, Antivir, BitDefender, Dr.Web, F-Prot, F-Secure,Kaspersky, …

1. Aller sur l’adresse http://virusscan.jotti.org/fr
2. En face de Fichier à scanner, cliquer le bouton Parcourir
3. Sélectionnez le fichier à vérifier et Ouvrir
4. Puis Envoyer

Et le résultat arrive au bout de quelques secondes

Ce que Google peut savoir sur nous

Les recherches

On remarque que Google cible ses publicités selon nos recherches, basées sur les tags, partout ou est utilisé le service Adsense. Donc Google conserve les requêtes et, en mode connecté, associe ces mots clés avec d’autres informations pour constituer un véritable profil.

Votre surf : ou vous allez

Google connaît votre historique et l’utilise. Si vous etes sur un PC habituel ou anonyme, le résultat de la recherche diffère en fonction de vos habitudes.
Ajoutez ce code &pws=0 à la fin de l’URL de la recherche pour que Google ne prenne pas en compte votre historique.
Si vous utilisez le navigateur Chrome ou sa barre d’outil, Google sait toutes les pages que vous visitez, y compris les formulaires que vous remplissez.

La géolocalisation : ou vous êtes

Google ne peut pas savoir directement où est votre PC car votre adresse IP est gardée par votre FAI.
Mais vos recherches via Google Maps et les formulaires remplis le renseignent. C’est également une information que vous donnez si vous avez un compte AdSense ou AdWords.
Si vous avez un smartphone et que vous utilisez la géolocalisation (Google Maps), cela permet de connaitre la position de votre portable. Et avec Google Sync, Google connait la marque et le modèle de votre smartphone.

Google Desktop : votre disque dur

Il s’installe sur le bureau et permet l’accès direct à des informations en ligne. Il indexe votre disque dur et permet d’en connaître le contenu.

Google Docs : votre travail

Suite bureautique en ligne de Google pratique par sa capacité de stockage et la possibilité de travailler sur des projets à plusieurs… mais le contenu est accessible à Google.

Vos mails et contacts

Le contenu de vos mails sur Gmail est scannable et Google connaît vos contacts, si vous leur parlez souvent et de quoi.
Google sait récupérer vos contacts Google Voice, Google Buzz, Twitter et FriendFeed.
Google étend la collecte aux contacts de vos contacts.

Réseaux et forums

Ce que vous dîtes publiquement sur n’importe quel réseau social ou forum peut être indexé par Google.

Une petite synthèse dans le Dashboard de ce que Google sait sur vous.

La checklist de Google pour aider les utilisateurs de Gmail à sécuriser leur compte

Cette liste est en anglais donc je l’ai traduite pour moi mais elle vous permettra de pointer au fur et à mesure de vos vérifications (je ne l’ai pas fait

Ordinateur

Vérifiez les virus et les logiciels malveillants

Bien qu’aucun antivirus ne peut prendre 100% des infections, il est toujours important d’exécuter un scan de votre ordinateur avec un logiciel anti-virus digne de confiance (ou d’installer un programme qui s’exécute en arrière-plan et analyse en permanence). Si l’analyse détecte tout programme suspicieux ou les applications, les retirer immédiatement. Et Google présente quelques antivirus ici.

Assurez-vous que votre système d’exploitation est à jour

Les systèmes d’exploitation publie des correctifs pour réparer des failles de sécurité. Il est recommandé de protéger son ordinateur en permettant une mise à jour automatique et lorsque vous recevez une notification.

Assurez-vous d’effectuer des mises à jour régulières des logiciels

Certaines mises à jour de logiciels ne sont pas incluses dans les mises à jour du système d’exploitation, mais sont tout aussi importantes. Des logiciels Adobe Flash, Adobe Reader et Java communiquent des mises à jour régulières qui peuvent comprendre la réparation des failles de sécurité.

Navigateur

Assurez-vous que votre navigateur est à jour

Pour vérifier les mises à jour du navigateur

• dans Internet Explorer, sélectionnez Outils et cliquez sur l’onglet Windows Update.
• Dans Firefox, cliquez sur Aide et sélectionnez l’onglet Mises à jour.
• Chrome Google met à jour automatiquement lorsqu’une nouvelle version est disponible.

Vérifiez les plug-ins, extensions, programmes tiers et outils qui doivent avoir accès à votre compte Google

Plug-ins et extensions sont des programmes informatiques téléchargeables qui fonctionnent avec votre navigateur pour effectuer des tâches spécifiques. Par exemple, vous pouvez avoir téléchargé un plug-in ou une extension qui vérifie votre boîte de réception Gmail pour les nouveaux messages. Google ne peut pas garantir la sécurité de ces services à des tiers

Compte Google

Changez votre mot de passe

Si votre compte a été récemment compromis, vous devez mettre à jour votre mot de passe. En général, nous vous suggérons de le changer deux fois par an, suivant ces lignes directrices :

• Choisissez un mot de passe unique que vous n’avez pas déjà utilisé sur d’autres sites ou sur Gmail. Tout changement d’un caractère ou un numéro de compte comme la réutilisation de votre mot de passe.
• Ne pas utiliser un mot du dictionnaire ou un mot commun qui est facile à deviner. Utiliser une combinaison de chiffres, caractères et lettres majuscules et minuscules.

Consultez la liste des sites qui sont autorisés à accéder à votre compte Google

Assurez-vous que la liste des sites autorisés est exactes et ceux que vous avez choisis. Si votre compte Google a récemment été compromis, il est possible que les méchants peuvent avoir autorisé leur propre site Web pour accéder à vos données. Cela peut leur permettre d’accéder à votre compte Google lorsque vous avez changé votre mot de passe.
Pour modifier la liste des sites autorisés:

• Connectez-vous sur la page d’accueil des comptes Google.
• Cliquez sur Mon Compte affiché en haut à droite de la page.
• Cliquez sur Modifier les sites Web autorisés. Cette page liste tous les partis des sites tiers que vous avez accordé l’accès.
• Cliquez sur révoquer l’accès liées à désactiver l’accès d’un site.

Mise à jour de vos options de récupération de compte

Nous pouvons tous oublier nos mots de passe à un moment donné, il est vivement conseillé de mettre à jour vos options de récupération de compte. Pour mettre à jour ces options, vous connecter à votre compte Google en vous rendant sur https://www.google.com / accounts et cliquez sur Modifier les options de récupération de mot de passe.

• Récupération adresse e-mail: vous pouvez utiliser votre adresse e-mail de récupération pour communiquer si vous perdez l’accès à votre compte.
• SMS: Nous pouvons vous envoyer un code de récupération de votre numéro de téléphone mobile, que vous pouvez utiliser pour réinitialiser votre mot de passe.
• Question secrète : Cette option n’est disponible que si vous ne pouvez pas utiliser les options de récupération ci-dessus et seulement si vous n’avez pas essayé de vous connecter au cours des 24 dernières heures. Une réponse idéale à votre question de sécurité facile à mémoriser pour vous, mais difficile à deviner pour autrui.

Paramètres de Gmail

Utiliser une connexion sécurisée pour vous connecter

Dans les paramètres de votre compte Gmail, sélectionnez Toujours utiliser le protocole HTTPS. Ce paramètre protège vos données contre le vol lorsque vous vous connectez à Gmail sur un réseau sans fil public, notamment dans un café ou un hôtel.

Vérifiez pour toute activité étrange récentes sur votre compte.

Cliquez sur Détails à côté de Dernière activité du Compte en bas de votre compte pour voir l’heure, la date, l’adresse IP et l’emplacement associé de l’accès récent à votre compte.
Confirmez l’exactitude de vos paramètres de messagerie pour vous assurer que votre message reste et va là où vous le souhaitez.
Inscrivez-vous à votre compte et cliquez sur le Paramètres en haut et vérifiez les onglets suivants:

• Général: Vérifier la Signature et désactiver le répondeur
• Comptes: Vérifiez que Envoyer des e-mails en tant que, Récupérer le courrier de vos autres comptes dans Gmail, et Accorder l’accès à votre compte sont tous exacts.
• Filtres: Vérifiez qu’aucun filtre n’envoie votre mail à la corbeille, spam, ou le transmet à un compte inconnu.
• Transfert et POP / IMAP: Vérifiez que votre mail n’est pas envoyé à un compte inconnu ou un client de messagerie.

Divers

• Attention aux messages qui vous demandent votre nom d’utilisateur et/ou mot de passe. Gmail ne les demande jamais.
• Ne donnez jamais votre mot de passe après avoir suivi un lien envoyé dans un message, même cela ressemble à à la page de connexion. Accédez à Gmail directement en tapant l’adresse https://mail.google.com dans la barre d’adresse du navigateur.
• Ne partagez pas votre mot de passe avec d’autres sites Web – Google ne peut pas garantir la sécurité des autres sites Web et votre mot de passe Gmail pourrait être compromis.
• Ne divulguez jamais votre mot de passe ou votre question secrète et sa réponse, si vous le dites à quelqu’un, changez-le dès que possible.
• Effacer les formulaires, mots de passe, cache et cookies dans votre navigateur sur une base régulière – en particulier sur un ordinateur public.
• Ne pas sélectionner "Rester connecté" si vous vous connectez à partir d’un ordinateur personnel.
• Toujours vous déconnecter lorsque vous avez terminé de lire votre mail.

Coup de gueule ou la prudence sur Internet

Sans aller jusqu’à la paranoïa, ce que je constate dans la vie la plus courante me donne quelques raisons d’inquiétude.

• Facebook qui fait de la conservation de photos supprimées on ne sait jusqu’à quand ou qui donne accès aux numéros de téléphone, et pourquoi pas à votre mobile si vous utilisez sa dernière fonctionnalité (les mots de passe temporaires) ; une critique acerbe mais intéressante et à mon gout = "Facebook, ou l’agonie de la vie privée"
• a la télévision : des reportages de 12 h et du 20 h qui vous montrent des méfaits de Facebook, ou plutôt des usages qu’on en fait pour créer des ravages entre adolescents (poussés jusqu’au suicide dans cette cour de récré trop étendue), dans le recrutement ou le licenciements, dans le refus d’aides bancaires, …
• 81 % des bébés de moins de deux ans ont déjà une identité numérique (article d’Emilie Ogez) avec des photos ou échographies mises en ligne par les parents (on le fait tous, non ?) mais certains parents créent une adresse e-mail ou un profil pour leur bébé, voir des hashtag (j’ai essayé l’exemple d’Émilie !!!)
• sans parler de toutes les déviances qui malheureusement fréquentent aussi le net comme ceux qui ont attaqué un enfant handicapé

Pourtant Facebook mais aussi tout Internet est un outil magique

• pour chercher un emploi
• pour faire du marketing
• pour trouver des mines de renseignements et d’aide dans tout domaine,
• pour rester en lien avec des parents ou amis éloignés …

Inutile de continuer la liste pour vous dire que je suis loin de haïr la toile, bien au contraire, mais il faut rester vigilent et éduquer : vos enfants, vos entreprises, vos collègues, …
Compliqué ? Je ne pense pas.

1. Ne racontez sur Internet que ce qui peut être public. Vous ne voulez pas que certaines personnes le sachent alors ne le mettez pas sur la toile. Vous parlez pour être écouté alors, pour n’être pas entendu, ne dites rien.
2. un site pour pister nos traces numériques
3. nettoyer son identité numérique avec quelques petits conseils ici ou là

Pour surveillez l’accès à Facebook et le déconnecter à distance

Comme pour Gmail, quand on utilise les cybercafés, le pc d’un ami, … il arrive qu’on oublie de se déconnecter de son compte Facebook mais aussi pour s’assurer que personne d’autre ne l’a utilisé.

La section «Sécurité du compte» donne accès à la date et l’heure de la dernière connexion, le lieu où elle a été effectuée et le nom du périphérique. Il est alors possible de désactiver le périphérique distant.
Compte > Paramètres du compte > Sécurité du compte Modifier

C’est là qu’on a :

• les Notifications lors des connexions : En cochant adresse électronique, Facebook permet de recevoir un message électronique lorsqu’un nouvel ordinateur ou appareil mobile est utilisé pour se connecter à votre compte.
• l’Sessions actives : il suffit d’arrêter l’activité des connexions non désirées avec le texte activité la plus récente