Des chercheurs de la KU Leuven, de l’Université Radboud et d’IMDEA Networks ont découvert que les applis Facebook, Instagram et Yandex surveillent secrètement les sites web que vous visitez, même dans une autre appli ou en mode incognito.
On sait depuis un certain temps déjà que Meta, la société-mère de Facebook et d’Instagram, passe en revue votre comportement en ligne, mais l’entreprise le fait également de manière sournoise, jusqu’alors inconnue. Les chercheurs en sont arrivés à cette idée et ont même découvert en marge que le moteur de recherche russe Yandex faisait de même.
Mise sur écoute par ‘Facebook Pixel’
De nombreux sites web disposent depuis des années du soi-disant ‘Facebook Pixel’. Un fragment de code chargé discrètement lors d’une visite et permettant à Meta de tracer les visiteurs. Ce code fait en sorte que les sites web déterminent, entre autres, dans quelle mesure leurs publicités (Facebook) en ligne génèrent des visites et des achats supplémentaires.
Les chercheurs découvrent à présent que les applis de Facebook et Instagram sur les téléphones Android écoutent des ports (réseau) locaux fixes en arrière-plan. De cette façon, elles reçoivent des données, souvent liées à l’identité, de l’utilisateur et peuvent les associer au profil de ce dernier.
Cela donne à Facebook une idée des sites web que vous visitez, même si vous n’êtes pas connecté à Facebook dans votre navigateur. ‘Cela se produit dans les navigateurs courants, mais aussi en mode incognito ou dans les applis qui ouvrent une page web via un navigateur incorporé’, explique le Dr Gunes Acar (Université Radboud).
Outre Acar, la recherche a été effectuée aussi par Tim Vlummens, doctorant au COSIC (KU Leuven), par Aniketh Girish et Nipuna Weerasekara, tous deux doctorants à l’IMDEA Networks Institute de Madrid, et par le professeur Narseo Vallina-Rodriguez de l’IMDEA Networks Institute.
Concrètement, les applis font de la mise sur écoute sur les ports locaux de votre smartphone des identifiants envoyés, leur donnant une image détaillée de ce qu’un utilisateur visite avec son appareil. Certains événements, comme le dépôt d’un article dans un panier d’achat en ligne, sont également cartographiés. La méthode contourne les autorisations de confidentialité existantes dans Android.
‘Meta offre également aux sites web la possibilité d’utiliser une correspondance avancée automatisée avec Facebook Pixel’, explique Acar. ‘Si vous remplissez un formulaire sur un tel site, il récupère des informations telles que votre adresse mail, votre nom, votre genre ou votre numéro de téléphone. Heureusement, cela n’est pas transmis directement, mais il les hache (les crypte dans un code unique, ndlr) et peut les associer, lorsque vous saisissez ces données ailleurs.’
Oui dans les navigateurs, mais pas dans votre appli bancaire
Les chercheurs ont déjà discrètement communiqué leurs conclusions à un certain nombre de développeurs de navigateurs. C’est ainsi qu’un ajustement a déjà été effectué dans Chrome depuis la semaine dernière.
Bon à savoir: la mise sur écoute se fait via l’appli Facebook ou Instagram. Ce comportement n’a pas été observé chez d’autres applications de Meta, telles que WhatsApp. Il n’a pas non plus été démontré que la méthode de Meta puisse, par exemple, surveiller ce que vous faites dans votre appli bancaire. L’écoute cible spécifiquement les interactions avec les sites qui installent Facebook Pixel et informent ainsi systématiquement Meta de ce que fait un visiteur. Meta peut associer ce comportement à un compte Facebook ou Instagram via ses applis.
Applis iPhone
A l’avenir, les chercheurs souhaitent savoir si les applis iPhone examinent également le comportement du navigateur, mais leur étude, elle, ciblait Android.
Nous nous y sommes concentrés, car tant Facebook Pixel que Yandex Pixel recherchent spécifiquement des ‘user agent strings’ liés à Android’, affirme Tim Vlummens. Cela peut être dû au fait qu’Apple possède un environnement beaucoup plus strict et que de telles pratiques sont plus compliquées, mais cela n’a pas encore été prouvé.
Yandex Aussi, au bout de trois jours
L’enquête a débuté en septembre de l’année dernière, lorsque le Dr Acar a découvert que des données étaient transmises entre le site web de l’Université Radboud et l’appli Facebook. Lors d’un test à grande échelle portant sur cent mille sites web, il apparut que 15.677 d’entre eux envoyaient des signaux de ce genre que l’appli pouvait lire.
En marge de cette recherche, l’équipe a découvert que Yandex, l’homologue russe de Google, agissait ainsi aussi. Ici, Yandex Pixel, formellement ‘Yandex Metrica’, a été trouvé sur 1.260 sites et fait pareil avec les applis Yandex (Maps, Navi, Browser et Search). ‘C’est à plus petite échelle, mais Yandex le fait depuis bien plus longtemps déjà’, précise le Dr Acar à Data News. ‘Nous avons estimé, grâce à des données historiques, que Yandex agissait peut-être ainsi depuis 2017.’
Que cela n’ait jamais été remarqué auparavant, même si les applis du Play Store sont en principe filtrées pour détecter tout comportement inapproprié, peut s’expliquer par le fait que les applis ne commencent pas immédiatement à écouter en secret. ‘Si vous lancez les applis Yandex, elles ne commencent à écouter qu’au bout de trois jours’, ajoute Nipuna Weerasekara.
‘Elles peuvent agir ainsi pour éviter d’être remarquées lors d’une inspection initiale. La plupart des chercheurs en sécurité vont installer une appli et voir ce qu’elle fait, mais ils ne vont pas attendre trois jours. Le comportement est également dynamique, la latence peut varier, tout comme les ports que les applis mettent sur écoute.
Alternative aux cookies de traçage
Facebook et Instagram n’appliqueraient la méthode de la mise sur écoute que depuis récemment, en septembre dernier. Les chercheurs supposent que Meta voulait fournir ainsi une méthode alternative au projet de Google visant à rejeter les cookies externes dans Chrome. Google n’a pas donné suite à ce projet, mais entre-temps, Meta dispose d’une méthode pour savoir quels sites web vous visitez, quelles actions vous y effectuez et quelle véritable identité se cache derrière ce comportement, même sans cookies (mouchards).
Petit point positif: Meta écoute de manière légèrement plus sécurisée que Yandex. Depuis novembre, Meta utilise WebRTC pour communiquer entre les sites web dotés de Facebook Pixel, et l’appli Facebook. D’autres applis pourraient également voir ces valeurs, mais pour elles, ce sont des nombres arbitraires.
Yandex est plus négligent en la matière et utilise des requêtes HTTP et HTTPS. L’en-tête d’origine contenant l’URL est également envoyé. Autrement dit, les informations collectées et transmises par Yandex Metrica peuvent également être visionnées par d’autres applis sur votre téléphone, leur donnant ainsi un aperçu de votre historique de navigation.
De nouveau à l’arrêt
Les chercheurs ont pris contact avec plusieurs développeurs de navigateurs pour signaler cette pratique. ‘Chrome, entre autres, a pris ses responsabilités’, explique Gunes. ‘Mais la plateforme Android même pourrait également mieux gérer cela, notamment lorsqu’il s’agit d’examiner les applis, avant qu’elles ne soient approuvées, ou grâce à une politique n’autorisant pas ce type de traçage.’
Assez étonnamment, le traçage par Meta a été très récemment de nouveau mis à l’arrêt. Data News a parlé aux chercheurs durant la période ayant précédé la sortie publique de leur enquête, et a aussi pu visionner une vidéo durant laquelle la technique était démontrée.
En ce mardi 3 juin, les chercheurs nous ont informé que Meta Pixel n’envoie depuis ce matin plus aucun paquet ni requête vers le localhost (le smartphone de l’utilisateur). De même, le code qui transfère le _fbp ID, a soudainement été supprimé, sans la moindre explication formelle. Mais comme cela s’est fait quelques heures avant que l’enquête ne soit rendue publique, il n’est pas exclu que Meta ait interrompu cette pratique, parce qu’elle était entre-temps bien au courant des observations des chercheurs.
Réactions de Google et Meta
Update 19H30’:
Google a publié la déclaration suivante en réponse à l’enquête: ‘Les développeurs (Meta, ndlr) utilisent dans ce rapport de manière inappropriée des fonctionnalités communes à de nombreux navigateurs iOS et Android, ce qui constitue une violation flagrante de nos principes de sécurité et de confidentialité. Nous avons déjà pris des mesures pour lutter contre ces techniques invasives. Nous avons lancé notre propre enquête et sommes en contact direct avec les parties concernées.’
Data News a également demandé à Google pourquoi cette pratique n’avait jamais été découverte, étant donné que l’appli doit être soumise à un processus d’évaluation dans le Google Play Store. Nous compléterons cet article dès que nous aurons reçu une réponse.
Meta a elle aussi réagi rapidement, mais sans répondre à des questions spécifiques: ‘Nous sommes en discussion avec Google pour résoudre un éventuel problème de communication concernant l’application de sa politique. Maintenant que nous sommes conscients des préoccupations mises en évidence, nous avons décidé de suspendre cette fonctionnalité pendant que nous collaborons avec Google pour résoudre le problème.’
Nous avons également demandé à Meta pourquoi elle procédait ainsi, pourquoi elle surveillait les sites visités en mode incognito et si cela était clairement indiqué dans les conditions d’utilisation des applis Facebook et Instagram. Nous n’avons provisoirement reçu aucune réponse.
Update 4/6/2025
Yandex explique dans un communiqué qu’elle ne collecte pas d’informations sensibles: ‘Yandex respecte les normes de protection des données et ne désanonymise pas les données des utilisateurs. La fonctionnalité en question ne collecte pas d’informations sensibles et vise uniquement à améliorer la personnalisation des applis.’
Mais même si l’entreprise estime ne rien faire de répréhensible, elle met fin à la pratique.
‘Compte tenu des inquiétudes, nous avons décidé de renoncer à la fonctionnalité et travaillons d’arrache-pied pour la supprimer de nos applis. Nous sommes également en discussion avec Google, afin de nous conformer pleinement à la politique de son magasin d’applications’, indique Yandex dans un communiqué adressé à Data News.
Lisez aussi: Google s’en tiendra finalement aux cookies