Le navigateur web « custom » présent dans les applications Facebook et Instagram peut suivre les utilisateurs à la trace.
Facebook n’a jamais eu la réputation de protéger la vie privée de ses utilisateurs. Cette semaine, un ancien ingénieur de Google a écrit que le réseau social et une autre propriété appartenant à Meta, Instagram, utilisent leurs navigateurs intégrés pour suivre les utilisateurs en injectant du code dans les sites Web.
Le chercheur Felix Krause a examiné comment Facebook et Instagram utilisent des navigateurs intégrés personnalisés lorsque les utilisateurs visitent des pages Web en cliquant sur un lien ; les applications ne redirigent pas les utilisateurs vers leur navigateur par défaut.
« L’application Instagram injecte son code de suivi dans chaque site Web affiché, y compris lorsque vous cliquez sur des publicités, ce qui leur permet de surveiller toutes les interactions des utilisateurs », écrit Krause.
Le chercheur a enquêté sur les versions iOS des applications de Meta. Cela est particulièrement pertinent car la fonctionnalité App Tracking Transparency (ATT) d’Apple introduite dans iOS 14 permet aux utilisateurs d’empêcher les applications de suivre leurs activités sur les applications et les sites Web d’autres entreprises. Au dernier décompte, 96 % de ceux qui utilisaient iOS 14.5 n’activaient pas le suivi dans l’application.
Le Huardian rapporte que Meta a déclaré injecter uniquement un code de suivi basé sur les préférences ATT d’un utilisateur et qu’il n’était utilisé que pour agréger les données avant d’être appliqué à des fins de publicité ciblée ou de mesure pour les utilisateurs qui avaient choisi de ne pas suivre ce suivi.
« Nous n’ajoutons aucun pixel », a déclaré un porte-parole de Meta. « Le code est injecté afin que nous puissions agréger les événements de conversion à partir de pixels. Pour les achats effectués via le navigateur intégré à l’application, nous demandons le consentement de l’utilisateur pour enregistrer les informations de paiement à des fins de remplissage automatique. »
Krause note que même si l’injection de scripts personnalisés dans des sites Web tiers, une pratique généralement associée aux cyberattaques, permet la surveillance d’informations sensibles telles que les mots de passe, les adresses et les numéros de carte de crédit, rien ne suggère que Meta collecte subrepticement ces données. Meta a cependant ajouté que « pour les achats effectués via le navigateur intégré à l’application, nous demandons le consentement de l’utilisateur pour enregistrer les informations de paiement à des fins de remplissage automatique ».
Le chercheur a ajouté que la technique fonctionne pour n’importe quel site Web, qu’il soit crypté ou non, et qu’elle n’est pas présente dans WhatsApp. Si vous souhaitez éviter le suivi, Krause conseille d’utiliser l’option qui ouvre le site Web actuellement consulté dans un navigateur tel que Chrome ou Safari. Vous pouvez également utiliser la version Web mobile des réseaux sociaux plutôt que leurs applications.