Les réseaux sociaux du web 2.0 – permettant à tout un chacun de créer et d’interconnecter des profils pour partager goûts et couleurs – font face, depuis leur naissance, à la menace du hacking. Selon Websense Inc, qui a récemment publié ses prédictions annuelles [websense.com] en matière de sécurité informatique pour 2008, ces réseaux « concentrent, pour le plus grand profit des hackers, des victimes potentielles qualifiées par âge, niveau de revenus ou d’habitudes d’achats ».
Les gestionnaires de ces réseaux doivent donc redoubler de vigilance. Renforcer leur sécurité informatique fait partie de leur priorité. Informer leurs utilisateurs sur la manière de déjouer certaines malveillances n’est pas moins efficace. Mais lorsque la menace devient réalité, c’est l’arme judiciaire qu’il faut employer.
L’enjeu est de taille : il s’agit de protéger les données (très) personnelles de leurs utilisateurs afin d’éviter que ces derniers ne soient victimes de sollicitations non-autorisées, type spamming ou junk mail ou, pire, du phishing (technique permettant de récupérer des informations personnelles pour accéder à des comptes d’utilisateurs).
C’est la raison pour laquelle la jeune société Facebook Inc., devenue populaire en un rien de temps et dont une partie a été rachetée par Microsoft, a initié une procédure judiciaire pour identifier les responsables de plusieurs tentatives d’introduction frauduleuse dans ses serveurs, survenues notamment entre le 1er et le 15 juin 2007 et, bien entendu, obtenir leur condamnation.
La plainte, reçue par la Cour de District du District Nord de Californie, a été amendée le 12 décembre [justia.com - PDF] dernier après que Facebook ait obtenu une ordonnance permettant d’identifier les hackers en question.
La procédure suivie lui a permis de déterminer l'IP utilisée par ces hackers et d’obtenir de la part du fournisseur d’accès responsable de son administration d’empêcher cette adresse d’accéder à celle du serveur de Facebook Inc. Cette dernière ayant constaté de nouvelles tentatives similaires d’accéder frauduleusement à son serveur, elle obtint une ordonnance lui permettant de révéler l’identité des fautifs. Il s’agit notamment de la société Istra Holdings, société pornographe qui contrôle SlickCash.com, un système d’affiliation publicitaire commissionnant les éditeurs de sites pour adultes qui référencent les surfeurs amateurs de contenus salaces, et de 17 personnes travaillant pour Istra.
La plainte est fondée sur les violations du Computer Fraud and Abuse Act, du California Comprehensive Computer Data Access and Fraud Act et des conditions générales d’utilisation de Facebook.
Ces dernières interdisent notamment aux utilisateurs enregistrés sur Facebook de pratiquer l’envoi de publicités non-sollicitées ou non-autorisées, la collecte de mots de passe et d’informations permettant l’identification des personnes ou encore l’emploi de scripts permettant l’envoi automatique de nombreuses requêtes sur le réseau de Facebook.
Lionel Thoumyre
Consultant en Affaires Réglementaires IP/IT
Directeur de Juriscom.net
