Selon Felix Krause, ex-collaborateur de Google et fondateur de l'entreprise d'automatisation Fastlane, diverses applis injectent leur propre code Javascript sur les sites web qu'ils affichent dans le navigateur 'in-app'. Ce faisant, les applis peuvent suivre tous les faits et gestes des utilisateurs, même s'ils ont désactivé ce traçage dans leur navigateur, peut-on lire dans le rapport.

Krause cite l'exemple d'Instagram ou de Facebook, appartenant toutes deux à Meta. Si au sein de l'appli iOS ou Android, vous cliquez sur un lien, ce dernier ne sera pas ouvert dans votre navigateur par défaut (tel Safari sur iOS), mais dans une version sur laquelle Meta a nettement plus de contrôle. Ce navigateur intégré à l'appli examinerait d'abord s'il y a un outil de traçage ('tracking') de l'organisation publicitaire IAB sur le site et si ce n'est pas le cas, le navigateur injecte lui-même un Meta Pixel (un outil de traçage de Meta, avec lequel l'entreprise a précédemment déjà connu des problèmes). Cet outil transfère des données au géant technologique, même si Krause affirme qu'il ne peut savoir de quelles données il s'agit.

Au diable les cookies!

Le rapport de Krause s'inscrit dans une tendance plus large allant dans le sens d'une réduction du traçage de la part des navigateurs. C'est ainsi que Firefox et Safari bloquent depuis assez longtemps déjà les cookies (mouchards) d'acteurs tiers, alors qu'iOS dispose d'une protection générale contre les cookies de traçage et que Google Chrome prépare un système en vue de remplacer les pisteurs de sites comme Facebook (même s'il se pose ici la question de savoir comment le traçage de Chrome sera abordé par la société-mère Google). Via le navigateur intégré à l'appli, Meta, qui n'exploite elle-même pas de navigateurs ou de systèmes d'exploitation, pourrait quand même toujours contourner ces différentes mesures.

Krause signale avoir notifié le 'bug' au programme Bug Bounty de Meta, et que cette dernière pouvait le reproduire. Après quelques semaines de silence radio, Meta n'a cependant encore rien adapté, selon Krause, ce qui l'a incité à publier sa trouvaille. Dans une réaction à la publication de ce rapport, Meta annonce que le script injecté n'est pas un Meta Pixel, mais un script destiné à faciliter des services en ligne comme les paiements. Pour éviter le script, il est préférable d'ouvrir simplement le lien dans Instagram, Facebook ou dans d'autres applis via un navigateur personnel sécurisé (Safari, Brave, Firefox) plutôt que de cliquer dans l'appli elle-même.

Selon Felix Krause, ex-collaborateur de Google et fondateur de l'entreprise d'automatisation Fastlane, diverses applis injectent leur propre code Javascript sur les sites web qu'ils affichent dans le navigateur 'in-app'. Ce faisant, les applis peuvent suivre tous les faits et gestes des utilisateurs, même s'ils ont désactivé ce traçage dans leur navigateur, peut-on lire dans le rapport.Krause cite l'exemple d'Instagram ou de Facebook, appartenant toutes deux à Meta. Si au sein de l'appli iOS ou Android, vous cliquez sur un lien, ce dernier ne sera pas ouvert dans votre navigateur par défaut (tel Safari sur iOS), mais dans une version sur laquelle Meta a nettement plus de contrôle. Ce navigateur intégré à l'appli examinerait d'abord s'il y a un outil de traçage ('tracking') de l'organisation publicitaire IAB sur le site et si ce n'est pas le cas, le navigateur injecte lui-même un Meta Pixel (un outil de traçage de Meta, avec lequel l'entreprise a précédemment déjà connu des problèmes). Cet outil transfère des données au géant technologique, même si Krause affirme qu'il ne peut savoir de quelles données il s'agit.Le rapport de Krause s'inscrit dans une tendance plus large allant dans le sens d'une réduction du traçage de la part des navigateurs. C'est ainsi que Firefox et Safari bloquent depuis assez longtemps déjà les cookies (mouchards) d'acteurs tiers, alors qu'iOS dispose d'une protection générale contre les cookies de traçage et que Google Chrome prépare un système en vue de remplacer les pisteurs de sites comme Facebook (même s'il se pose ici la question de savoir comment le traçage de Chrome sera abordé par la société-mère Google). Via le navigateur intégré à l'appli, Meta, qui n'exploite elle-même pas de navigateurs ou de systèmes d'exploitation, pourrait quand même toujours contourner ces différentes mesures.Krause signale avoir notifié le 'bug' au programme Bug Bounty de Meta, et que cette dernière pouvait le reproduire. Après quelques semaines de silence radio, Meta n'a cependant encore rien adapté, selon Krause, ce qui l'a incité à publier sa trouvaille. Dans une réaction à la publication de ce rapport, Meta annonce que le script injecté n'est pas un Meta Pixel, mais un script destiné à faciliter des services en ligne comme les paiements. Pour éviter le script, il est préférable d'ouvrir simplement le lien dans Instagram, Facebook ou dans d'autres applis via un navigateur personnel sécurisé (Safari, Brave, Firefox) plutôt que de cliquer dans l'appli elle-même.