Des documents judiciaires récemment dévoilés ont mis en lumière les pratiques controversées de Facebook, désormais connu sous le nom de Meta Platforms, Inc. Ces documents révèlent que l’entreprise a secrètement surveillé l’utilisation de Snapchat, YouTube et d’autres applications rivales dans un projet surnommé “Project Ghostbusters”. Lancé en 2016, il utilisait Onavo, un service semblable à un réseau privé virtuel acquis par Facebook en 2013, pour intercepter et déchiffrer le trafic réseau entre les applications des utilisateurs et leurs serveurs. Bien que présenté comme un outil pour aider les utilisateurs à protéger leurs données et à économiser de la bande passante, Onavo a servi de moyen pour Facebook de collecter des données sur l’utilisation des applications concurrentes.Les dirigeants de Facebook n'étaient pas tous satisfaits des efforts déployés par l'entreprise pour déchiffrer le trafic des utilisateurs sur les plateformes concurrentes.
En 2016, Facebook a lancé un projet secret visant à intercepter et à déchiffrer le trafic réseau entre les personnes utilisant l'application Snapchat et ses serveurs. L'objectif était de comprendre le comportement des utilisateurs et d'aider Facebook à concurrencer Snapchat, selon des documents judiciaires récemment dévoilés. Facebook l'a baptisé « projet Ghostbusters », dans une référence évidente au logo de Snapchat qui ressemble à un fantôme.
Il est possible que Facebook ait considéré Snapchat et WhatsApp comme des menaces potentielles. À l'époque, Snapchat atteignait 13,2% du public américain sur iOS et son application pour iPhone, qui connaissait une croissance rapide, se classait au 16ème rang. Messenger, l’application de messagerie de Facebook, enregistrait 13,7% et se classait au 15ème rang.
Cette année-là, Facebook tentait d’acquérir Snapchat pour 3 milliards de dollars - une offre rejetée par le PDG de Snap, Evan Spiegel. Facebook a ensuite passé des années à tenter de copier Snapchat comme l’illustre par exemple le clonage de la fonctionnalité Stories.
De nouveaux documents découverts
Mardi, un tribunal fédéral californien a publié de nouveaux documents découverts dans le cadre du recours collectif intenté par des consommateurs contre Meta, la société mère de Facebook. Ces documents révèlent comment Meta a tenté d'acquérir un avantage concurrentiel sur ses concurrents, notamment Snapchat et, plus tard, Amazon et YouTube, en analysant le trafic réseau de la manière dont ses utilisateurs interagissaient avec les concurrents de Meta. Étant donné que ces applications utilisent le chiffrement, Facebook a dû développer une technologie spéciale pour le contourner.
Dans un courriel de juin 2016, Zuckerberg a dit à Javier Olivan, alors responsable de la croissance de Facebook, qu'il voulait une meilleure réponse aux questions sur l'utilisation et la croissance de Snapchat que « parce que leurs données analytiques sont cryptées, nous n'avons pas de données analytiques à leur sujet ». À l'époque, Snapchat était encore une société privée et connaissait une croissance à deux chiffres tous les trimestres.
La correspondance a été révélée dans le cadre d'un litige en cours devant un tribunal fédéral de Californie, dans lequel Meta est accusée de comportement anticoncurrentiel sur le marché de la publicité dans les médias sociaux.
Deux mois après l'envoi du courriel, Facebook a lancé Stories sur Instagram, une fonctionnalité photo effectivement identique à la fonctionnalité principale de Snapchat, à savoir la disparition des posts de photos, qui est depuis devenue l'un des plus grands succès d'Instagram.
« Étant donné la rapidité de leur croissance, il semble important de trouver un nouveau moyen d'obtenir des analyses fiables à leur sujet », a écrit Zuckerberg à propos de Snapchat dans le courriel. « Peut-être devrons-nous faire des panels ou écrire des logiciels personnalisés. Vous devriez trouver un moyen de le faire », a-t-il indiqué à Olivan.
Olivan, qui est depuis devenu directeur des opérations de Meta, a répondu au courriel de Zuckerberg en disant qu'il avait « examiné la question avec l'équipe d'Onavo », en référence à l'application d'analyse du trafic que Facebook a acquise en 2013, qui était déjà utilisée pour un projet distinct de collecte d'échantillons sur la façon dont les gens utilisaient leurs téléphones en dehors des applications de Facebook.
Olivan a ensuite transmis l'e-mail de Zuckerberg à Guy Rosen, qui a fondé et continue de diriger Onavo, en lui demandant de « sortir des sentiers battus ». Rosen est aujourd'hui responsable de la sécurité des informations chez Meta.
Le résultat final a été un « groupe de travail » au sein d'Onavo, appelé en interne le « projet Ghostbusters » (en référence au logo de Snapchat qui représente un fantôme de dessin animé), parfois appelé "Projet Atlas" et finalement appelé le "In-App Action Panel [IAAP]", selon un courriel de juillet 2016 écrit à Olivan inclus dans les documents judiciaires non scellés.
Des « kits » pour rediriger et déchiffrer le trafic
L'utilisation d'Onavo par Facebook pour obtenir des informations sur la manière dont les utilisateurs mobiles interagissent avec les applications de ses concurrents a déjà été dévoilé il y a quelques années. L'application « ne déchiffre pas (ne peut pas déchiffrer) les données », a indiqué un employé de Facebook dans un courriel adressé à Zuckerberg et inclus dans un document du tribunal.
En 2016, le groupe de travail a donc créé un nouveau logiciel pouvant « être installé sur iOS et Android qui intercepte le trafic pour des sous-domaines spécifiques, ce qui nous permet de lire ce qui serait autrement du trafic chiffré afin que nous puissions mesurer l'utilisation in-app (c'est-à-dire les actions spécifiques que les gens effectuent dans l'application, plutôt que la simple visite globale de l'application). Il s'agit d'une approche de type "homme du milieu "», précise le courriel.
Ces « kits » ont permis à Onavo de rediriger et de déchiffrer le trafic des utilisateurs en usurpant l'identité des serveurs de Snapchat, puis de YouTube et d'Amazon, selon une lettre non scellée adressée au tribunal par les annonceurs plaignants. Facebook a procédé par le biais d'un processus appelé « secure sockets layer » (SSL) bumping, selon la lettre. SSL est un protocole qui crypte le trafic internet.
Une attaque de type "man-in-the-middle" - aujourd'hui également appelée "adversary-in-the-middle" - est une attaque par laquelle des hackers interceptent le trafic internet circulant d'un appareil à l'autre sur un réseau. Lorsque le trafic réseau n'est pas chiffré, ce type d'attaque permet aux hackers de lire les données qu'il contient, telles que les noms d'utilisateur, les mots de passe et d'autres activités dans l'application.
Étant donné que Snapchat chiffre le trafic entre l'application et ses serveurs, cette technique d'analyse du réseau ne pouvait pas être efficace. C'est pourquoi les ingénieurs de Facebook ont proposé d'utiliser Onavo, qui, lorsqu'il est activé, a l'avantage de lire tout le trafic réseau de l'appareil avant qu'il ne soit chiffré et envoyé sur l'internet.
Plus tard, selon les documents du tribunal, Facebook a étendu le programme à Amazon et YouTube.
Une méthode qui n'a pas fait l'unanimité au sein de Facebook
Les annonceurs qui poursuivent Meta en justice affirment que l'entreprise n'a pas divulgué pendant des années son utilisation de la technologie Onavo pour intercepter le trafic analytique de ses rivaux. Ils affirment que ce comportement a enfreint les lois sur les écoutes téléphoniques et a permis à Facebook d'augmenter ses tarifs publicitaires au-delà de ce qu'il aurait pu facturer sur un marché concurrentiel.
L'e-mail de juillet 2016 a ensuite précisé que des tiers seraient utilisés pour recruter des utilisateurs afin d'installer le logiciel et que ces utilisateurs ne verraient aucune marque Onavo à moins qu'ils ne prennent la mesure supplémentaire d'utiliser un outil comme Wireshark pour analyser l'outil. En 2019, un média américain a découvert le lien Onavo-Facebook vers une application de "recherche" que des personnes - y compris des enfants de 13 ans - avaient été payées pour télécharger.
Au sein de Facebook, il n'y avait pas de consensus sur la question de savoir si le projet Ghostbusters était une bonne idée. Certains employés, dont Jay Parikh, alors responsable de l'ingénierie des infrastructures de Facebook, et Pedro Canahuati, alors responsable de l'ingénierie de la sécurité, ont exprimé leur inquiétude.
« Je n'arrive pas à trouver un bon argument pour expliquer en quoi c'est acceptable. Aucune personne chargée de la sécurité n'est à l'aise avec cela, quel que soit le consentement que nous obtenons du grand public. Le grand public ne sait tout simplement pas comment ces choses fonctionnent », a écrit Canahuati dans un courriel inclus dans les documents du tribunal.
L'ancien directeur technique de Meta, Mike Schroepfer, aurait déclaré à l'époque : « Si nous découvrions que quelqu'un a trouvé un moyen de casser le chiffrement sur [WhatsApp], nous serions vraiment contrariés ».
Sources : documents judiciaires (1, 2)
Et vous ?
Quelle est votre opinion sur les pratiques de surveillance des applications rivales par Facebook ? Pensez-vous que les utilisateurs sont suffisamment informés des méthodes de collecte de données par les applications qu’ils utilisent ? Comment les révélations sur le projet “Ghostbusters” influencent-elles votre perception de la vie privée en ligne ? Quelles mesures pensez-vous que les régulateurs devraient prendre pour protéger la vie privée des utilisateurs ? Que pensez-vous du fait qu'une entreprise utilise un service VPN pour collecter des données sur l’utilisation d’autres applications ? Quel impact ces pratiques peuvent-elles avoir sur la confiance des consommateurs envers les entreprises technologiques ? Comment les entreprises peuvent-elles équilibrer la collecte de données pour l’innovation avec le respect de la vie privée des utilisateurs ?Voir aussi :
Avec le « Project Voldemort », Snapchat dénonce les tentatives d'intimidation et les coups tordus de Facebook pour étouffer ses activités 
Envoyé par Fagus
