Les navigateurs intégrés à l'application Facebook et Instagram manipulent les sites Web

Pendant des années, la frénésie de collecte de données des grands et aussi des petits groupes informatiques semblait ne pas avoir de limites. Mais ces dernières années, la situation s’est inversée. De plus en plus de navigateurs font de la publicité pour des fonctions anti-tracking, le fabricant d’iPhone Apple a mis un terme l’année dernière à l’espionnage sans limites des activités des utilisateurs sur plusieurs apps avec l’App Tracking Transparency…

Mais cela est bien différent lorsqu’on utilise les navigateurs intégrés présents sur Instagram et Facebook. Lorsque l’on consulte des pages web via ces applications, un code qui suit toutes les opérations est injecté, même la saisie de vos mots de passe. Cela semble vraiment inquiétant.

Formation webmarketing

Si vous êtes un utilisateur iOS et que vous ouvrez des liens dans les applications d’Instagram ou de Facebook dans le navigateur intégré à l’application, vous êtes surveillé de près. C’est ce qu’a découvert Felix Krause, un ancien technicien de Google. Sur son blog, il décrit comment le navigateur in-app des applications Facebook et Instagram injecte son propre code dans les pages web visitées.

Facebook ne s’intéresse qu’à la publicité

Grâce à ce code, Meta pourrait en principe suivre à la trace toutes les activités des utilisateurs, y compris les éléments sur lesquels ils ont cliqué ou la possibilité de faire des captures d’écran. En théorie, l’entreprise pourrait même lire des données très sensibles comme les mots de passe ou les numéros de carte de crédit. Tout cela sans jamais demander l’accord des utilisateurs ou des exploitants de sites web concernés.

Facebook affirme que le suivi sur les sites web n’a lieu que pour collecter des données sur les utilisateurs et, sur cette base, diffuser des publicités personnalisées. Des informations telles que les données de carte de crédit ne seraient enregistrées qu’avec l’accord préalable des utilisateurs, afin de pouvoir les insérer plus rapidement la prochaine fois par saisie automatique. C’est du moins la version de Facebook.

Cela ne signifie pas que la société Meta utilise réellement et activement toutes ces possibilités. Il n’est pas facile de savoir quelles données Meta collecte réellement de cette manière. L’entreprise utiliserait plusieurs niveaux de cryptage et de dissimulation pour garder ces activités secrètes.

En général, il s’agit d’une attaque

Facebook ne signale toutefois pas à ses utilisateurs que les pages Web visitées sont dotées de son propre code. L’injection de Javascript, comme on l’appelle, est généralement classée comme une forme de cyberattaque malveillante. Presque tous les navigateurs normaux l'empêchent, par exemple sous la forme de cookies tiers. Avec son propre navigateur, les applications du groupe Meta y parviennent néanmoins.

Comment se défendre contre le tracking ?

© pexels.com

Ne pas ouvrir les liens avec le navigateur intégré dans les applications Facebook et Instagram, mais utiliser un autre navigateur à la place, est également la solution pour échapper au tracking de Meta. Selon Krause, une autre solution consisterait à ne pas utiliser les applications, mais les sites web mobiles de Facebook et Instagram à la place. De leur côté, les exploitants de sites web peuvent empêcher l’injection de Javascript en ajoutant un petit code. Il trompe les applications Facebook et Instagram en prétendant que leurs outils de suivi sont déjà installés. Le tracking est encore aujourd’hui très difficile à éviter mais celui-ci n’est pas toujours négatif.

Conclusion

Le développeur de logiciels a signalé toutes ces informations à Meta le 9 juin. Après une brève confirmation que ce comportement pouvait être reproduit, le groupe a fait silence radio. Krause a donc fixé un délai raisonnable à l’entreprise pour qu’elle le rende public, mais Meta n’a pas non plus réagi. Ce délai est à présent écoulé.

La demande adressée à Meta est assez simple : supprimer le suivi, car Whatsapp n’a pas un tel comportement sur l’iPhone.