Je ne m’attends pas à ce que Meta respecte mes données ou ma vie privée, mais l’entreprise continue de me surprendre avec la façon dont ils sont prêts à aller au nom de la collecte de données. La dernière histoire nous vient à partir d’un rapport intitulé « Disclosure: Covert Web-to-App Suid via LocalHost sur Android ». En bref, Meta et Yandex (une entreprise de technologie russe) ont suivi potentiellement des milliards d’utilisateurs d’Android en abusant d’une faille de sécurité dans Android. Cette lacune permet aux entreprises d’accéder à l’identification des données de navigation de votre navigateur Web tant que vos applications Android sont installées.
Comment fonctionne ce suivi?
Comme l’explique le rapport, Android autorise toute application installée avec des autorisations Internet pour accéder à «l’adresse de bouclage» ou localhost, une adresse qu’un appareil utilise pour communiquer avec elle-même. En l’occurrence, votre navigateur Web a également accès au LocalHost, qui permet aux Javascripts intégrés sur certains sites Web de se connecter aux applications Android et de partager des données et des identifiants de navigation.
Quels sont ces javascripts, pourriez-vous demander? Dans ce cas, c’est Meta Pixel et Yandex Metrica, des scripts qui permettent aux entreprises de suivre les utilisateurs sur leurs sites. Les trackers sont une partie malheureuse de l’Internet moderne, mais Meta Pixel n’est censé pouvoir vous suivre pendant que vous parcourez le Web. Cette boucle permet aux scripts de pixels méta-pixels de renvoyer vos données de navigation, vos cookies et vos identifiants pour les applications Meta installées comme Facebook et Instagram. Il en va de même pour Yandex avec ses applications comme les cartes et le navigateur.
Vous ne vous êtes certainement pas inscrit à cela lorsque vous avez installé Instagram sur votre appareil Android. Mais une fois que vous vous êtes connecté, la prochaine fois que vous avez visité un site Web intégré Meta Pixel, le script a ramené vos informations à l’application. Tout d’un coup, Meta avait identifié des données de navigation de votre activité Web, non pas via la navigation elle-même, mais à partir de l’application Instagram « non liée ».
Chrome, Firefox et Edge ont tous été affectés dans ces résultats. Duckduckgo a bloqué certains mais pas tous les domaines ici, donc il a été « minimalement affecté ». Brave bloque les demandes au LocalHost si vous n’y consentez pas, il a donc réussi à protéger les utilisateurs de ce suivi.
Les chercheurs disent que Yandex le fait depuis février 2017 sur les sites HTTP et mai 2018 sur les sites HTTPS. Meta Pixel, en revanche, n’a pas suivi de cette façon depuis longtemps: il n’a commencé que septembre 2024 pour HTTP, et a mis fin à cette pratique en octobre. Il a commencé via WebSocket et Webbrtc Stun en novembre, et Webrtc tourne en mai.
Les propriétaires de sites Web se sont apparemment plaints à Meta à partir de septembre, demandant pourquoi Meta Pixel communique avec le localhost. En ce qui concerne les chercheurs, Meta n’a jamais répondu.
Que pensez-vous jusqu’à présent?
Les chercheurs indiquent clairement que le type de suivi est possible sur iOS, car les développeurs peuvent établir des connexions et des applications LocalHost peuvent également « écouter ». Cependant, ils n’ont trouvé aucune preuve de ce suivi sur les appareils iOS et ont émis l’hypothèse que cela a à voir avec la façon dont iOS restreint les applications natives en arrière-plan.
Meta a officiellement arrêté ce suivi
La bonne nouvelle est que, au 3 juin, les chercheurs disent qu’ils n’ont pas observé de méta-pixel communiquant avec le Host local. Ils n’ont pas dit la même chose pour Yandex Metrika, bien que Yandex ait dit à ARS Technica qu’il « abandonnait la pratique ». ARS Technica rapporte également que Google a ouvert une enquête sur ces actions qui « violent manifestement nos principes de sécurité et de confidentialité ».
Cependant, même si Meta a arrêté ce suivi après le rapport, les dégâts pourraient être répandus. Comme souligné dans le rapport, les estimations ont mis en place des méta-pixels de 2,4 millions à 5,8 millions de sites. De là, les chercheurs ont constaté qu’un peu plus de 17 000 sites de méta-pixels aux États-Unis tentent de se connecter au Host local, et plus de 78% d’entre eux ne le font pas nécessaires, y compris des sites comme AP News, Buzzfeed et The Verge. C’est un parcelle des sites Web qui auraient pu renvoyer vos données à vos applications Facebook et Instagram. Le rapport dispose d’un outil que vous pouvez utiliser pour rechercher des sites affectés, mais note que la liste n’est pas exhaustive, et l’absence ne signifie pas que le site est sûr.
Meta m’a envoyé la déclaration suivante en réponse à ma demande de commentaire: «Nous sommes en discussion avec Google pour répondre à une mauvaise communication potentielle concernant l’application de leurs politiques. En prenant conscience des préoccupations, nous avons décidé de suspendre la fonctionnalité pendant que nous travaillons avec Google pour résoudre le problème.»
