Facebook et Instagram ont espionné l’historique web des utilisateurs Android pendant des mois. En détournant une fonction interne du système, les réseaux sociaux de Meta ont pu relier les informations aux comptes des internautes sur les plateformes, sans leur consentement. La révélation a provoqué la colère de Google.
Une équipe internationale de chercheurs a découvert que Facebook et Instagram sont parvenus à espionner l’historique de navigation des utilisateurs Android pendant des mois. Les deux applications de Meta ont réussi à s’emparer de la liste de tous les sites Internet que vous visitez. L’historique a ensuite été relié à votre compte sur le réseau social. C’est une violation flagrante de la confidentialité, surtout que la collecte se produisait même si l’internaute activait le mode incognito de son navigateur.
À lire aussi : comment empêcher Meta d’utiliser vos données pour entrainer son IA
Comment Meta espionnait votre historique de navigation sur Android ?
Le processus reposait sur Meta Pixel, un outil d’analyse destiné aux annonceurs qui permet de suivre les actions des utilisateurs sur un site web après la diffusion d’une publicité sur Facebook ou Instagram. Si vous avez visité le site d’une marque pour comparer des ordinateurs portables, vous verrez ensuite apparaître des publicités liées à celle-ci sur vos fils d’actualité.
Les chercheurs ont découvert que les applications de Meta restent actives en arrière-plan pour surveiller certaines connexions locales sur le smartphone. Concrètement, les applications exploitaient une fonction Android prévue pour l’échange de fichiers. Elle permet à une app de faire tourner un petit serveur local sur le téléphone. Grâce au Pixel Meta intégré sur des millions de sites web, des scripts étaient chargés dans le navigateur de l’utilisateur et envoyaient des informations, comme des cookies, des métadonnées, ou des données personnelles, vers les apps de Meta par le biais de ce serveur local.
Ce mécanisme a permis de récupérer des données provenant d’autres applications du smartphone, pour les associer à un compte Instagram ou Facebook. En d’autres termes, Meta gardait un œil sur les sites que vous consultiez sur votre navigateur, même si votre compte Facebook ou Instagram n’était pas ouvert dans celui-ci. Le processus, qui enfreint les règles d’Android, a permis à Meta d’afficher des publicités plus ciblées sur ses plateformes.
Meta n’a jamais communiqué sur ce procédé, « ni aux utilisateurs ni aux propriétaires de sites Web avec un tel programme de suivi », regrette le chercheur Gunes Acar, qui a participé à l’étude. Le chercheur ajoute que « cela se produit dans les navigateurs courants, mais aussi en mode incognito ou dans les applis qui ouvrent une page web via un navigateur incorporé ». Meta pouvait aussi récupérer toutes les données fournies à un site par le biais d’un formulaire.
« Si vous remplissez un formulaire sur un tel site, il récupère des informations telles que votre adresse mail, votre nom, votre genre ou votre numéro de téléphone », explique Gunes Acar, précisant que les données sont tout de meme hachées, c’est-à-dire transformées en une suite de caractères illisibles par sécurité.
Les chercheurs précisent que seuls Facebook et Instagram sont en mesure de récupérer des données venant uniquement des sites munis d’un Meta Pixel. En clair, WhatsApp n’est pas concerné, et Meta ne peut pas accéder aux données fournies dans une application bancaire par exemple.
« Aucune preuve d’abus n’a été observée dans les navigateurs et applications iOS que nous avons testés », souligne l’étude.
À lire aussi : Mark Zuckerberg était prêt à censurer Facebook pour s’implanter en Chine, selon une lanceuse d’alerte
Google évoque une « violation flagrante »
La révélation des chercheurs a provoqué la colère de Google. En effet, Meta contourne les autorisations de confidentialité d’Android en récupérant les données provenant d’autres applications. Le géant de Mountain View estime qu’il s’agit « d’une violation flagrante de notre politique de sécurité et de confidentialité ». Google a rapidement déployé une mise à jour de Chrome pour empêcher ce type de pratiques à l’avenir. En théorique, Meta risquait de voir ses applications se faire éjecter du Play Store pour avoir enfreint les règles de Google.
« Les développeurs utilisent de manière inappropriée des fonctionnalités communes à de nombreux navigateurs iOS et Android. […] Nous avons lancé notre propre enquête et nous sommes en contact direct avec toutes les parties concernées », déclare Google.
Dos au mur, Meta a donc fini par supprimer le code à l’origine de l’exfiltration des données. Meta Pixel ne communique plus du tout avec le téléphone de l’utilisateur. Le géant des réseaux sociaux plaide un « malentendu dans l’application de la politique de Google ». Il aura fallu attendre que les chercheurs dévoilent publiquement les résultats de leur enquête, et que Google tape du poing sur la table, pour que Meta corrige le tir.
« Maintenant que nous sommes conscients des préoccupations mises en avant, nous avons décidé de suspendre cette fonction tandis que nous collaborons avec Google pour résoudre le problème », explique Meta.
Notez que Meta n’est pas la seule entité à s’être servie du procédé pour espionner l’historique de navigation sur Android. Yandex, le géant de la recherche russe, s’appuyait sur une méthode analogue depuis plus de huit ans. L’entreprise se servait de Yandex Pixel pour arriver à ses fins. En miroir de Meta, le Google russe a « décidé de renoncer à la fonctionnalité ».
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Github