Le navigateur web intégré dans les applications Facebook et Instagram permet à Meta de pister toutes vos activités dans les liens externes que vous consultez.
Contrairement à la plupart des applications iOS, Facebook et Instagram n’utilisent pas Safari pour afficher les liens externes sur lesquels vous cliquez. À la place, Meta a fait le choix d’y intégrer un navigateur web maison. Et cela n’est en aucun cas dû au hasard. Fidèle à sa réputation, la maison mère de Facebook et Instagram a fait ce choix pour pouvoir pister toute votre activité sur la toile.
Felix Krause, le créateur de Fastlane tools, un outil d’automatisation racheté par Google en 2017, a analysé le navigateur utilisé par Meta. Et les conclusions qu’il a rendues dans un billet très technique publié sur son site ont de quoi faire froid dans le dos.
Car bien que Meta utilise Webkit, le moteur de rendu d’Apple, pour le navigateur Web intégré à Facebook et Instagram, le fonctionnement de celui-ci est loin des standards d’Apple. Dès que vous ouvrez un lien externe depuis Facebook et Instagram, en appuyant sur un article de presse ou sur une publicité, le navigateur injecte automatiquement un bout de code JavaScript pour vous pister. Grâce à lui, Meta peut voir, suivre, et pister toutes les actions que vous réalisez.
Attention toutefois, si cela donne à Meta la possibilité de le faire, cela ne signifie pas que l’entreprise collecte toutes les données pour les exploiter.
« Cela permet à Instagram de surveiller tout ce qui se passe sur des sites Web externes, sans le consentement de l’utilisateur, ni du fournisseur du site Web. L’application Instagram injecte son code JavaScript dans chaque site Web affiché, y compris lorsque vous cliquez sur des publicités. Même si pcm.js ne le fait pas (ndr : c’est le nom du code JavaScript utilisé par Meta), l’injection de scripts personnalisés dans des sites Web tiers leur permet de surveiller toutes les interactions des utilisateurs, comme chaque bouton et lien tapé, les sélections de texte, les captures d’écran, ainsi que toutes les entrées de formulaire, comme les mots de passe, les adresses et numéros de carte de crédit. », explique Felix Krause dans son billet.
Meta contredit l’analyse
Évidemment, Meta a immédiatement contesté fermement l’analyse opérée par Felix Krause. La firme explique ainsi que le script injecté « permet d’agréger les événements, c’est-à-dire l’achat en ligne, avant que ces événements ne soient utilisés pour la publicité ciblée et la mesure pour la plate-forme Facebook. ». Meta a d’ailleurs tenu à préciser que « le script injecté aide Meta à respecter le choix de désactivation de l’ATT de l’utilisateur (ndr : App Tracking Transparency, autrement dit le consentement) ».
Comment faire pour limiter autant que possible les risques de vous faire pister par Facebook et Instagram ? Dans son billet, Felix Krause délivre plusieurs conseils qui font appel au bon sens. Il suggère ainsi d’éviter d’ouvrir les liens externes dans les applications, mais de privilégier leur ouverture dans Safari. Facebook et Instagram proposent en principe toutes deux cette option. Il conseille par ailleurs de ne plus utiliser les applications mobiles de ces deux plates-formes, mais de privilégier les WebApp, en les ouvrant directement dans Safari.
Source :
Felix Krause