Le mois dernier, l’ingénieur logiciel et chercheur en sécurité Felix Krause (ancien ingénieur chez Google) a affirmé que les réseaux sociaux Facebook et Instagram dans le giron de Meta (Meta Platforms) peuvent suivre tout ce qu’un utilisateur fait sur n’importe quel site web en s’appuyant sur leur propre navigateur intégré.
Le navigateur in-app est utilisé lors d’un clic sur une URL dans l’application. Avec les applications Facebook et Instagram pour iOS, Felix Krause a pointé du doigt l’injection de code JavaScript dans les sites web affichés. » Cela permet de surveiller tout ce qui se passe sur les sites web externes, sans le consentement de l’utilisateur, ni de l’éditeur du site. «
Le groupe Meta avait réagi en défendant l’exécution de scripts personnalisés permettant de surveiller les interactions des utilisateurs avec leur consentement.
» Le code nous permet d’agréger des données des utilisateurs avant de les utiliser à des fins de publicité ciblée ou de mesure. […] Pour les achats effectués via le navigateur in-app, nous demandons le consentement de l’utilisateur pour enregistrer les informations de paiement à des fins de saisie automatique. «
Un rapport utilisé pour des plaintes en recours collectif
Reste que le rapport de Felix Krause se retrouve désormais cité dans deux plaintes en justice aux États-Unis de trois utilisateurs de Facebook et d’iOS. Elles visent Meta Platforms et ont vocation à être un recours collectif. Une action de groupe au nom de tous les autres utilisateurs d’iOS concernés.
» Quand un utilisateur clique sur un lien web dans l’application Facebook, Instagram ou Messenger, Meta le dirige automatiquement vers le navigateur in-app que Meta surveille au lieu du navigateur par défaut de l’utilisateur « , peut-on lire dans les plaintes qui reprennent la question de l’injection de code JavaScript dans les sites.
Les plaintes évoquent un contournement de l’App Tracking Transparency (ATT) d’Apple avec iOS. Mise en place en 2021, cette fonctionnalité impose aux développeurs d’obtenir le consentement explicite des utilisateurs d’une application pour le suivi de leurs activités sur d’autres applications ou sites.
» Meta intercepte et piste les interactions et les communications privées de ses utilisateurs avec des sites web tiers, en passant outre les paramètres de confidentialité des utilisateurs. «
L’ATT d’Apple coûte cher à Meta
En raison des modifications d’Apple avec l’ATT d’iOS, Meta avait déclaré s’attendre à une perte de 10 milliards de dollars de recettes publicitaires en 2022. Un porte-parole de Meta a néanmoins – et sans surprise – qualifié les plaintes d’allégations sans fondement.
» Nous nous défendrons vigoureusement. Nous avons soigneusement conçu notre navigateur in-app afin de respecter les choix des utilisateurs en matière de confidentialité, notamment en ce qui concerne la manière dont les données sont utilisées pour les publicités. «