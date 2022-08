Meta et Instagram peuvent vous traquer grâce à leur navigateur intégré. Un procédé découvert par le chercheur Felix Krause et qui, pour l'heure, n'est pas implémenté dans WhatsApp.

Si vous visitez un site sur Facebook ou Instagram, vous avez peut-être remarqué que vous n’êtes pas redirigé(e) vers votre navigateur web par défaut, vous arrivez dans un navigateur intégré. Et il s’avère que ces navigateurs injectent du code javascript à chaque page visitée, permettant à Meta de (potentiellement) vous suivre. C’est ce qu’a découvert le chercheur Felix Krause.

Meta et Instagram peuvent vous traquer grâce à leur navigateur intégré

“L’app Instagram injecte son code de tracking dans chaque site visité, y compris lors d’un clic sur une publicité, permettant de suivre toutes les interactions utilisateurs, comme chaque bouton et lien tapoté, chaque sélection de texte, capture d’écran, mais aussi toute saisie de texte, comme un mot de passe, une adresse ou un numéro de carte de crédit”, expliquait Felix Krause dans un post de blog.

Le spécialiste s’est concentré sur les versions iOS de Facebook et Instagram. Et c’est important parce que Apple permet aux utilisateurs de refuser le tracking lorsqu’ils ouvrent pour la première fois une app via le App Tracking Transparency (ATT) introduit dans iOS 14.5. Meta avait précédemment déclaré que la fonctionnalité avait été “un vent contraire pour nos affaires en 2022… de l’ordre de 10 milliards de dollars.”

Un procédé découvert par le chercheur Felix Krause

Meta expliquait que le code de tracking injecté obéissait aux préférences utilisateur quant à l’ATT. “Ce code nous permet de récupérer les données utilisateurs avant de les utiliser pour la publicité ciblée ou les outils de mesure”, déclarait un porte-parole à The Guardian. “Nous n’ajoutons aucun pixel. Le code est injecté pour que nous puissions regrouper les événements de conversion depuis les pixels. Pour les achats passés depuis le navigateur intégré, nous demandons l’autorisation de l’utilisateur pour enregistrer les informations de paiement pour remplir automatiquement ces champs ultérieurement.”

Felix Krause précisait que Facebook n’utilise pas nécessairement l’injection javascript pour collecter des données sensibles. Cependant, si les apps ouvraient un “vrai” navigateur, comme Safari ou Firefox, il serait impossible de réaliser pareille injection javascript sur n’importe quel site sécurisé. A contrario, l’approche utilisée par les navigateurs intégrés dans Instagram et Facebook “fonctionnent pour n’importe quel site, qu’ils soient chiffrés ou non.”

et qui, pour l’heure, n’est pas implémenté dans WhatsApp

Selon les recherches de Felix Krause, WhatsApp ne modifie pas les sites tiers de cette manière. Pour le chercheur, Meta devrait procéder de la même manière avec Facebook et Instagram ou simplement utiliser une vraie app navigateur pour ouvrir les liens. “C’est ce qu’il y a de mieux pour l’utilisateur et la bonne chose à faire.”