Lors de la conférence WWDC 2020, Apple a annoncé qu'avec la sortie d’iOS 14, l’IDFA (IDentifier For Advertisers - identifiant de publicité) serait désormais une fonctionnalité opt-in, ce qui signifie que les utilisateurs doivent donner leur consentement explicite à la fois à l’annonceur et aux applications de destination pour les autoriser à les suivre sur Internet. L’IDFA est la norme adoptée par Apple permettant aux réseaux publicitaires mobiles de suivre des utilisateurs et de leur diffuser des publicités ciblées. Il en va de même pour les applications publicitaires, leurs partenaires publicitaires et leurs partenaires d’attribution.
Les paramètres de confidentialité de l'iOS 14 vont permettre de réduire le ciblage publicitaire des entreprises. Meta (alors Facebook inc.) l’avait compris et avait déclaré à l'époque que cette mise à jour que la marque à la pomme se préparait à lancer nuirait gravement à une partie de ses activités, notamment la publicité en ligne qui s'appuie sur le suivi des utilisateurs. Selon des estimations de l'entreprise de réseaux sociaux, les nouvelles règles de confidentialité introduites par la firme de Cupertino pourraient coûter jusqu'à 10 milliards de dollars à Meta rien que cette année.
Si les protestations de Meta n'ont pas empêché le lancement de l'iOS 14, l'entreprise semble avoir trouvé le moyen de contourner les limitations mises en place par Apple. En tout cas, c'est ce qu'affirme une plainte déposée mercredi à San Francisco par deux utilisateurs de Facebook. Selon des sources proches du dossier, une plainte similaire a été déposée devant le même tribunal la semaine dernière. Ils ont accusé le géant de la technologie "de contourner les règles de confidentialité mise en place par Apple en 2021 et de violer les lois étatiques et fédérales limitant la collecte non autorisée de données personnelles".
Les accusations se fondent sur un rapport publié en août dernier par le chercheur en cybersécurité Felix Krause. Krause, un ancien employé de Google, a soutenu que Meta exploite le "navigateur intégré" - une fonctionnalité qui permet aux utilisateurs de Facebook et Instagram de visiter un site Web tiers sans quitter la plateforme - pour "injecter" un code JavaScript qui permet de surveiller toutes les interactions des utilisateurs. Cette pratique est considérée dans la plupart des cas comme un type d'attaque malveillante. Elle permet à Meta de suivre les utilisateurs à travers le Web après qu'ils aient cliqué sur des liens sur Facebook et Instagram.
Pour parvenir à cette conclusion, Krause a conçu un outil capable de détecter si du code JavaScript est injecté dans la page qui s’ouvre dans le navigateur intégré aux applications Instagram, Facebook et Messenger lorsqu’un utilisateur clique sur un lien qui le redirige vers un lien externe. Après avoir ouvert l’application Telegram et cliqué sur un lien ouvrant une page tierce, aucune injection de code n’a été détectée. En répétant la même expérience avec Instagram, Messenger et Facebook, l’outil a détecté que plusieurs lignes de code JavaScript avaient été injectées après avoir ouvert la page dans le navigateur intégré à ces applications.
Il a observé ce comportement sur iOS comme sur Android. Toutefois, aucun code de ce type n’est ajouté au navigateur intégré de WhatsApp. Selon Krause, le fichier JavaScript externe que l’application Instagram injecte est connect.facebook.net/en_US/pcm.js, un code permettant de créer un pont pour communiquer avec l’application hôte. Krause a conclu que l’injection de scripts dans des sites Web tiers pourrait, même si aucune preuve ne confirme que Meta s’y adonne, permettre à l'entreprise de surveiller toutes les interactions des utilisateurs, comme les interactions avec chaque bouton et chaque lien.
Après la publication de cette découverte, Meta aurait réagi en déclarant que l’injection de ce code aidait à regrouper les événements, comme les achats en ligne, avant que ceux-ci soient utilisés pour la publicité ciblée et des mesures pour Facebook. Meta aurait ajouté : « ;pour les achats effectués via le navigateur intégré à l’application, nous demandons le consentement de l’utilisateur pour enregistrer les informations de paiement à des fins de remplissage automatique ;». Mais Krause a déclaré qu'il n’y a aucune raison légitime au fait que Meta intègre un navigateur à ses applications et force les utilisateurs à l'utiliser pour visiter des liens externes.
« Cela permet à Meta d'intercepter, de surveiller et d'enregistrer les interactions et les communications de ses utilisateurs avec des tiers, fournissant des données à Meta qu'elle agrège, analyse et utilise pour augmenter ses revenus publicitaires », peut-on lire dans la plainte. L'action en justice soutient que la collecte d'informations sur les utilisateurs via les applications Facebook et Instagram permet à Meta de contourner la réglementation d'Apple en matière de protection de la vie privée, qui exige que toutes les applications tierces obtiennent le consentement des utilisateurs avant de suivre leur activité en ligne et hors ligne.
En réponse aux allégations des plaignants, Meta a admis que l'application Facebook suit l'activité du navigateur (intégré), mais a réfuté les allégations selon lesquelles les données des utilisateurs étaient collectées illégalement. En outre, le rapport de Krause a noté que la pratique qui consiste à injecter du code dans des pages d’autres sites Web soulèverait des risques à plusieurs niveaux :
- confidentialité et analyse : l’application hôte peut suivre littéralement tout ce qui se passe sur le site Web comme chaque pression, saisie, comportement de défilement, quel contenu est copié et collé, ainsi que les données affichées comme les achats en ligne ;
- vol des informations d’identification des utilisateurs, des adresses physiques, des clés API, etc. ;
- annonces et références : l’application hôte peut injecter des publicités sur le site Web, ou remplacer la clé API des annonces pour voler des revenus à l’application hôte, ou remplacer toutes les URL pour inclure un code de référence ;
- sécurité : les navigateurs ont passé des années à optimiser la sécurité de l’expérience utilisateur sur le Web, comme afficher l’état du chiffrement HTTPS, ou encore avertir l’utilisateur au sujet des sites Web non chiffrés, etc. ;
- l’injection de code JavaScript supplémentaire sur un site Web tiers peut entraîner des problèmes susceptibles de casser le site Web ;
- les extensions de navigateur et les bloqueurs de contenu de l’utilisateur ne sont pas disponibles ;
- les liens profonds ne fonctionnent pas bien dans la plupart des cas ;
- souvent, il n’est pas facile de partager un lien via d’autres plateformes (par exemple, par e-mail, AirDrop, etc.).
Si vous souhaitez échapper au suivi de Meta à travers le navigateur de ses applications, vous pouvez dans un premier temps ouvrir la page Web dans un navigateur extérieur à l’application. Généralement, un bouton permet de le faire. Si ce bouton n’est pas disponible, vous allez devoir copier et coller l’URL pour ouvrir le lien dans le navigateur de votre choix. Une autre solution assez simple qui permet d’échapper au regard e Meta est d’utiliser la version Web de ces applications.
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous des allégations portées contre Meta ?
Voir aussi
Les développeurs examinent des techniques invasives de suivi des utilisateurs dans l'iOS 14 pour contourner la prochaine mise à jour de la confidentialité d'Apple
Meta, l'entreprise mère de Facebook et Instagram, injecterait du code JS dans les sites Web pour suivre les utilisateurs, selon une récente découverte faite par le chercheur Felix Krause
Facebook prévoit un déficit de 10 milliards de dollars de revenus à cause des fonctions de confidentialité sur iOS, qui rendent le pistage des mobinautes plus difficile depuis le lancement d'iOS 14.5
96 % des utilisateurs d'iPhone ont refusé le suivi des applications depuis le lancement d'iOS 14.5, ce qui montre que la grande majorité des gens veulent préserver leur vie privée