Si vous avez déjà eu l’impression que votre fil d’actualité vous connaissait un peu trop bien, la réalité dépasse peut-être la fiction. Imaginez mon amie Claire, qui a comparé discrètement des vacances en Grèce sur son téléphone, pour voir apparaître instantanément des pubs sur les îles dès qu’elle ouvrait son appli Instagram… Et bien, ce n’était pas qu’une coïncidence : Facebook et Instagram ont exploité un mécanisme d’espionnage pour pister l’historique de navigation des utilisateurs Android pendant plusieurs mois.
Contexte de l’affaire
Une équipe internationale de chercheurs, pilotée par le spécialiste en cybersécurité Gunes Acar, a mis au jour un processus insidieux : sans jamais demander l’aval des utilisateurs, les applications de Meta détournaient une fonction native d’Android pour aspirer les sites web consultés dans le navigateur. Même le mode incognito n’a pas suffi à protéger vos données. Cette découverte a déclenché l’ire de Google, qui y a vu une violation flagrante de ses règles de confidentialité.
Comment Meta espionnait votre historique de navigation sur Android ?
Le procédé reposait sur Meta Pixel, un outil publicitaire conçu pour suivre les clics après une campagne. Voici comment cela fonctionnait :
- Les applis Facebook et Instagram restaient actives en arrière-plan, via un petit serveur local prévu initialement pour l’échange de fichiers.
- Dès qu’un utilisateur visitait un site intégrant un Meta Pixel, un script se chargeait dans le navigateur et envoyait, via le serveur local, des cookies, métadonnées et autres éléments de formulaire.
- Ces informations étaient alors corrélées au compte Facebook ou Instagram, sans que l’utilisateur n’ait jamais ouvert l’application ou consenti à ce suivi.
Concrètement, Meta pouvait savoir que vous veniez de remplir un formulaire pour acheter un billet de concert ou que vous compariez des modèles de téléviseurs. Les données, bien que hachées pour plus de sécurité, restaient autant de briques pour cibler vos publicités.
Réactions de Google et suite des événements
Dès la publication de l’étude, Google a parlé de « violation flagrante » de ses politiques de sécurité sur le Play Store. Résultat : une mise à jour rapide de Chrome pour bloquer ce type d’échange de données. Face à la pression, Meta a finalement désactivé la fonctionnalité litigieuse et assure travailler en collaboration avec Google pour éviter toute récidive. Selon la firme, il s’agissait d’un « malentendu dans l’application de la politique », et non d’une volonté délibérée de contourner les règles.
Un procédé pas exclusif à Meta
Meta n’est pas la seule entreprise à avoir misé sur cette faille. Le géant russe Yandex utilisait depuis près de huit ans une technique similaire via son Yandex Pixel, avant d’abandonner la pratique suite à des critiques. Cette prise de conscience montre à quel point il est essentiel de rester vigilant sur les permissions accordées à nos applications et de suivre les recommandations des autorités comme la CNIL pour protéger nos données personnelles.
