Une enquête révèle que Meta a surveillé à l’insu des utilisateurs leur activité de navigation sur Android, même en mode incognito, soulevant de graves questions sur la protection des données personnelles.
Tl;dr
- Des chercheurs ont découvert que Meta espionnait la navigation des utilisateurs Android, même en mode incognito ou avec un VPN.
- Cette surveillance était possible grâce à un script caché dans les applications Facebook et Instagram, contournant les protections d’Android.
- Après la révélation, Google a réagi avec des correctifs, Meta a arrêté le suivi, et une enquête est en cours pour mieux encadrer ces pratiques.
Une découverte qui ébranle la confiance numérique
Il n’aura fallu que quelques mois pour que l’affaire éclate : des chercheurs de Radboud University aux Pays-Bas, associés à l’institut IMDEA Networks, ont révélé que Meta surveillait, à l’insu des utilisateurs, leur activité de navigation sur Android. Et ce, même lorsque ceux-ci utilisaient le mode incognito ou un VPN, croyant protéger leur vie privée.
À l’origine de cette affaire, un script logé dans les applications vedettes de Meta, notamment Instagram et Facebook. Dès lors qu’un utilisateur restait connecté à ces services sur son smartphone, tout ce qu’il regardait, consultait ou achetait en ligne était susceptible d’être suivi à des fins publicitaires personnalisées. Plus étonnant encore : ce procédé a permis de court-circuiter les dispositifs de sécurité natifs d’Android. Une faille repérée dès janvier par un professeur de Radboud University, qui a mis au jour le rôle du fameux « Pixel tracker » — présent sur près de 20% des sites les plus visités — dans ce détournement. L’astuce technique consistait à relier les informations recueillies non pas directement aux serveurs de Meta, mais aux applications mobiles, identifiant ainsi précisément chaque utilisateur via ses comptes sur Facebook ou Instagram.
Toutes les protections mises en échec… jusqu’à l’arrêt récent du suivi
Selon les premiers éléments fournis par le site spécialisé BoyGeniusReport, cette méthode d’extraction de données serait utilisée depuis septembre 2024 seulement. Mais sa portée est inquiétante : aucun navigateur Android majeur n’aurait échappé à cette surveillance prolongée. D’après la communication officielle transmise aux médias britanniques, le géant américain aurait néanmoins cessé ces pratiques « plus tôt dans la semaine ».
L’industrie cherche à rassurer mais l’enquête se poursuit
Interpellé par ces révélations, Google a dénoncé une exploitation « flagrante » et non conforme des capacités d’Android. Le groupe assure avoir déjà déployé des correctifs pour contrer ces techniques invasives et mène désormais sa propre enquête. De son côté, Meta, tout en reconnaissant les faits, affirme être en discussion avec Google. Un porte-parole évoque « une possible mauvaise interprétation » des règles encadrant ce type de collecte.
Voici les principaux risques soulevés par cette affaire selon plusieurs experts :
- Piratage ciblé : Les failles similaires sont parfois utilisées pour introduire des malwares sophistiqués.
- Données bancaires exposées : Des applications malveillantes peuvent accéder aux comptes bancaires liés.
- Mises à jour cruciales : Les failles zero-day exigent une vigilance et des correctifs immédiats.
La controverse révèle une fois encore la fragilité des barrières numériques face à l’ingéniosité technique et met en lumière l’urgence d’une régulation plus stricte concernant la collecte massive de données personnelles.
Source link
