Dans la jungle comme sur la toile, de nombreuses entreprises ne manquent pas de recourir toutes les armes quelles jugent efficaces pour atteindre leurs objectifs. Meta, lentreprise mre de Facebook et Instagram, dont les imbroglios en matire de respect de la vie prive ne sont plus rappeler, vient nouveau dtre pingle pour des pratiques de suivi des utilisateurs sur la toile en injectant du code dans le navigateur intgr ses applications.
Comment Meta suivrait-elle les utilisateurs sur la toile partir de ces applications Facebook, Instagram et Messenger ?
Cette affaire a t porte la connaissance du grand public par Felix Krause, un chercheur en confidentialit qui a fond un outil de dveloppement dapplications acquis par Google en 2017. Pour parvenir cette conclusion, Felix Krause a conu un outil capable de dtecter si du code JavaScript est inject dans la page qui souvre dans le navigateur intgr aux applications Instagram, Facebook et Messenger lorsquun utilisateur clique sur un lien qui le redirige vers une page extrieure lapplication. Aprs avoir ouvert lapplication Telegram et cliqu sur un lien ouvrant une page tierce, aucune injection de code na t dtecte. Toutefois, lorsquil a rpt la mme exprience avec Instagram, Messenger, Facebook sur iOS et Android loutil a permis de mettre plusieurs lignes de code JavaScript injectes aprs avoir ouvert la page dans le navigateur intgr ces applications. Mais aucun code de ce type nest ajout au navigateur intgr de WhatsApp.
Selon le chercheur, le fichier JavaScript externe que lapplication Instagram injecte est le (connect.facebook.net/en_US/pcm.js) qui est un code permettant de crer un pont pour communiquer avec lapplication hte. De manire plus dtaille, le chercheur a dcouvert les lments suivants :
- Instagram ajoute un nouvel couteur dvnements pour obtenir des dtails chaque fois que lutilisateur slectionne un texte sur le site Web. Ceci, combin lcoute des captures dcran, donne Instagram un aperu complet de linformation spcifique qui a t slectionne et partage ;
- lapplication Instagram vrifie sil y a un lment avec lID iab-pcm-sdk qui fait probablement rfrence In App Browser ;
- si aucun lment avec lID iab-pcm-sdkn’a t trouv, Instagram cre un nouveau script lment et dfinit sa source surhttps://connect.facebook.net/en_US/pcm.js
- Il trouve ensuite le premier lment script sur votre site Web pour insrer le fichier JavaScript pcm juste avant ;
- Instagram recherche galement iframes sur le site Web, mais aucune information sur ce quil fait na t trouv.
partir de l, Krause explique que linjection de scripts personnaliss dans des sites Web tiers pourrait, mme si aucune preuve ne confirme que lentreprise sy adonne, permettre Meta de surveiller toutes les interactions des utilisateurs, comme les interactions avec chaque bouton et chaque lien, les slections de texte, les captures dcran, ainsi que toutes les entres de formulaire, comme les mots de passe, les adresses et numros de carte de crdit. De plus, il ny a aucun moyen de dsactiver le navigateur personnalis intgr aux applications en question.
Aprs la publication de cette dcouverte, Meta aurait ragi en dclarant que linjection de ce code aiderait regrouper les vnements, comme les achats en ligne, avant que ces ceux-ci soient utiliss pour la publicit cible et des mesures pour la plate-forme Facebook. Lentreprise aurait ajout que pour les achats effectus via le navigateur intgr lapplication, nous demandons le consentement de lutilisateur pour enregistrer les informations de paiement des fins de remplissage automatique .
Mais pour le chercheur, il ny a aucune raison lgitime intgrer un navigateur aux applications de Meta et forcer les utilisateurs pour quils restent sur ce navigateur lorsquils souhaitent parcourir dautres sites qui nont rien voir avec les activits de la firme. En sus, cette pratique qui consiste injecter du code dans des pages dautres sites Web soulverait des risques plusieurs niveaux :
- Confidentialit et analyse : lapplication hte peut suivre littralement tout ce qui se passe sur le site Web comme chaque pression, saisie, comportement de dfilement, quel contenu est copi et coll, ainsi que les donnes affiches comme les achats en ligne.
- Vol des informations didentification des utilisateurs, des adresses physiques, des cls API, etc.
- Annonces et rfrences : lapplication hte peut injecter des publicits sur le site Web, ou remplacer la cl API des annonces pour voler des revenus lapplication hte, ou remplacer toutes les URL pour inclure un code de rfrence.
- Scurit : les navigateurs ont pass des annes optimiser la scurit de lexprience utilisateur sur le Web, comme afficher ltat du chiffrement HTTPS, ou encore avertir lutilisateur au sujet des sites Web non chiffrs, etc.
- Linjection de code JavaScript supplmentaire sur un site Web tiers peut entraner des problmes susceptibles de casser le site Web
- Les extensions de navigateur et les bloqueurs de contenu de lutilisateur ne sont pas disponibles.
- Les liens profonds ne fonctionnent pas bien dans la plupart des cas.
- Souvent, il nest pas facile de partager un lien via dautres plates-formes (par exemple, par e-mail, AirDrop, etc.)
Comment se protger en tant quutilisateur ?
Si vous souhaitez chapper au suivi de Meta travers le navigateur de ses applications, vous pouvez dans un premier temps ouvrir la page web dans un navigateur extrieur lapplication. Gnralement, un bouton permet de le faire. Si ce bouton nest pas disponible, vous allez devoir copier et coller lURL pour ouvrir le lien dans le navigateur de votre choix.
Une autre solution assez simple qui permet dchapper au regard e Meta est dutiliser la version Web de ces applications.
Comment se protger en tant que fournisseur de site Web ?
En attendant la rsolution de ce problme, si jamais Meta se dcide le faire, vous pouvez, en tant que dveloppeur, tromper assez facilement les applications Instagram, Facebook et Messenger pour quelles croient que le code de suivi est dj install. Pour cela, il suffit dintgrer ce qui suit votre code HTML :
1 | <span id="iab-pcm-sdk"></span> <span id="iab-autofill-sdk"></span> |
De plus, pour empcher Instagram de suivre les slections de texte de lutilisateur sur votre site Web vous pouvez ajouter ce code :
1 | const originalEventListener = document.addEventListener document.addEventListener = function(a, b) { if (b.toString().indexOf("messageHandlers.fb_getSelection") > -1) { return null; } return originalEventListener.apply(this, arguments); } |
Cela ne rsoudra pas le problme rel dInstagram excutant du code JavaScript sur votre site Web, mais au moins aucun script JS supplmentaire ne sera inject, et moins de donnes seront suivies.
Nous prcisons que sur iOS, aprs lintroduction de lobligation pour les dveloppeurs dapplications de demander une permission pour suivre les utilisateurs travers les applications, de nombreux utilisateurs ont refus de donner leur accord aux applications pour tre suivis, ce qui a eu pour consquence de rduire le chiffre daffaires de Facebook de 10 milliards de dollars. Sur cette base, lon pourrait comprendre et lgitimer les actions de lentreprise pour assurer sa prennit. Mais devrait-elle se faire au dtriment de la vie prive des utilisateurs ?
Source : Publication du chercheur, Script inject par Meta
Et vous ?
Quels commentaires faites-vous de cette rcente dcouverte ? Intressante ? Exagre ? Alarmiste ?
Trouvez-vous raisonnable que Meta injecte du code JS dans les pages de sites Web tiers au motif de collecter certaines donnes anodines et surtout sans que les utilisateurs en soient informs ?
Cette rcente dcouverte pourrait-elle vous pousser ne plus utiliser le navigateur intgr Facebook et Instagram ?
Voir aussi
Facebook a volontairement planifi lespionnage des utilisateurs, cest ce que rvlent de nouveaux emails confidentiels de la direction
Violation de donnes : Facebook na pas averti les utilisateurs des risques connus avant 2018 et se retrouve de nouveau poursuivi en justice
Le PDG de Facebook a soutenu le partage des donnes clients malgr des doutes, selon les documents saisis par les dputs, il a dplor son choix
Meta menace de retirer Facebook et Instagram du march europen, si le groupe nest plus autoris changer les donnes des utilisateurs europens avec les tats-Unis