Cela faisait au moins 15 jours que Facebook ne s’était pas retrouvé au milieu d’un scandale concernant le traitement de données personnelles. Des chercheurs en cybersécurité ont heureusement déniché une nouvelle polémique.
Plusieurs spécialistes issues de l’IMDEA Networks Institute (une ONG espagnole) ont en effet remarqué que des petits bouts de code transitait de Chrome vers l’application Facebook afin de récupérer des informations personnelles sensibles. Une méthode qui violerait les règles d’utilisation d’Android note Ars Technica.
Une exfiltration discrète de données
Le principe en lui-même est plutôt simple. Les outils de pistage de Facebook, intégré à de millions de sites avec la promesse de « mieux comprendre l’efficacité de vos publicités », vont cafter l’identifiant unique laissé par votre navigateur web à l’application Facebook installée sur votre téléphone. Ainsi, même si vous n’êtes pas connecté à Facebook sur Google Chrome, l’application peut quand même avoir accès à votre historique de navigation. Cerise sur le gâteau, cela fonctionne aussi en navigation privée ou si vous avez effacé vos cookies ou votre historique de navigation.
Il est estimé que cet outil de tracking (surnommé « Pixel Meta ») est intégré à 5,8 millions de sites. Soit autant de domaines qui ont potentiellement partagé vos données, sans pleinement le vouloir, à la firme de Mark Zuckerberg. Yandex, le moteur de recherche russe, agirait de la même manière avec un mouchard implémenté sur 3 millions de sites.
Techniquement, le partage de données entre applications est très strictement encadré sur Android. Chaque logiciel est « sandboxé », c’est à dire étanche à toute communication avec le reste du téléphone, à quelques exceptions près. C’est en abusant d’une de ces exceptions, entre autre celle qui permet d’intercepter certaines communications locales pour ouvrir automatiquement une page web dans une app dédiée, que Facebook est parvenu à faire transiter des informations de Chrome vers son application. Le tout sans que cela ne fasse lever un sourcil à qui que ce soit.
Facebook reconnaît une « éventuelle erreur »
Contacté par Ars Technica, Google a confirmé que la méthode utilisée par Facebook et Yandex était tout sauf réglementaire et que des évolutions techniques avaient commencé à être mises en place pour éviter d’autres abus. Étrangement, plus aucune communication entre Chrome et Facebook n’a été remarquée depuis la publication de cette découverte.
Pour aller plus loin
Ces documents internes de Meta confirment ce que tout le monde ressent à propos de Facebook
Du côté de Meta, on invoque une « éventuelle erreur de communication concernant l’application de certaines politiques de Google », tandis que Yandex promet « ne collecter aucune donnée sensible » et ne faire appel à cette technique que pour « améliorer la personnalisation » de son application.
Envie de retrouver les meilleurs articles de Frandroid sur Google News ? Vous pouvez suivre Frandroid sur Google News en un clic.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix