Après qu’Apple a mis à jour ses règles de confidentialité en 2021 pour permettre facilement aux utilisateurs d’iOS de se retirer du suivi des applications tierces, tant de personnes se sont retirées que l’Electronic Frontier Foundation a rapporté que Meta avait perdu 10 milliards de dollars de revenus pour l’année prochaine.
Le modèle commercial de Meta repose sur la vente de données d’utilisateurs aux annonceurs, et il semble que le propriétaire de Facebook et d’Instagram ait cherché de nouvelles façons de poursuivre la collecte de données à grande échelle et de se remettre de la perte soudaine de revenus. Le mois dernier, un chercheur en confidentialité et ancien ingénieur de Google, Felix Krause, a allégué qu’une façon dont Meta cherchait à récupérer ses pertes était de diriger tout lien sur lequel un utilisateur clique dans l’application pour qu’il s’ouvre dans le navigateur, où Krause a signalé que Meta pouvait injecter du code, altérer les sites Web externes et suivre “tout ce que vous faites sur n’importe quel site Web”, y compris le suivi des mots de passe, sans le consentement de l’utilisateur.
Maintenant, la semaine dernière, deux recours collectifs [1] [2] de trois utilisateurs de Facebook et iOS, visant directement l’enquête de Krause, poursuivent Meta au nom de tous les utilisateurs iOS concernés, accusant Meta de cacher les risques de confidentialité, de contourner les choix de confidentialité des utilisateurs iOS et d’intercepter, surveiller et enregistrer toutes les activités des tiers. sites Web de parties consultés sur le navigateur Facebook ou Instagram. Cela inclut les entrées de formulaire et les captures d’écran qui donnent à Meta un canal secret via votre navigateur intégré pour accéder à “des informations personnellement identifiables, des détails de santé privés, des entrées de texte et d’autres données confidentielles sensibles”, apparemment sans informer les utilisateurs que la collecte de données est en cours.
La plainte la plus récente a été déposée hier par Gabriele Willis, basée en Californie, et Kerreisha Davis, basée en Louisiane. Un avocat de son équipe juridique chez Girard Sharp LLP, Adam Polk, a déclaré à Ars qu’il s’agissait d’une affaire importante pour empêcher Meta de s’en tirer en cachant les invasions continues de la vie privée. Dans la plainte, l’équipe juridique a noté les méfaits passés de Meta dans la collecte d’informations sur les utilisateurs sans consentement, notant pour le tribunal qu’une enquête de la Federal Trade Commission a abouti à une amende de 5 milliards de dollars pour Meta.
“Le simple fait d’utiliser une application ne donne pas à la société d’applications la licence de regarder par-dessus votre épaule lorsque vous cliquez sur un lien”, a déclaré Polk à Ars. “Ce litige vise à tenir Meta responsable de la surveillance secrète de l’activité de navigation des personnes via le suivi intégré à l’application, même lorsqu’ils n’ont pas autorisé Meta à le faire.”
Meta n’a pas immédiatement répondu à la demande de commentaire d’Ars. Krause a dit à Ars qu’il préférait ne pas commenter. [Update: A Meta spokesperson provided Ars with a statement: “These allegations are without merit and we will defend ourselves vigorously. We have carefully designed our in-app browser to respect users’ privacy choices, including how data may be used for ads.”]
Meta traque secrètement les données
Selon les allégations, qui reposent sur les mêmes faits, l’enquête de Krause “a révélé que Meta injectait du code dans des sites Web tiers, une pratique qui permet à Meta de suivre les utilisateurs et d’intercepter des données qui ne seraient pas disponibles autrement”. .
Pour enquêter sur le problème potentiel de confidentialité, Krause a créé un site Web appelé inappbrowser.com, où les utilisateurs peuvent “détecter si un navigateur particulier dans l’application injecte du code dans des sites Web tiers”. Il a comparé une application comme Telegram, qui n’injecte pas de code JavaScript dans des sites Web tiers pour suivre les données des utilisateurs dans leur navigateur intégré à l’application, à l’application de Facebook en suivant ce qui se passe dans le fichier HTML lorsqu’un utilisateur clique sur un lien.
Dans le cas des tests effectués sur les applications Facebook et Instagram, Krause a signalé que le fichier HTML montrait clairement que “Meta utilise JavaScript pour modifier les sites Web et remplacer les paramètres de confidentialité par défaut de leurs utilisateurs en dirigeant les utilisateurs vers le navigateur de l’application Facebook au lieu de vos paramètres précédents. navigateur Web par défaut programmé”.
Les plaintes notent que cette tactique d’injection de code apparemment employée par Meta pour “écouter” les utilisateurs était à l’origine connue sous le nom d’attaque par injection JavaScript. Le procès définit cela comme des cas où “un acteur de la menace injecte un code malveillant directement dans JavaScript côté client. Cela permet à l’acteur de la menace de manipuler le site Web ou l’application Web et de collecter des données sensibles, telles que des informations d’identification. informations personnelles (PII) ou Informations de paiement.”
“Meta utilise désormais cet outil de cryptage pour obtenir un avantage sur ses concurrents et, par rapport aux utilisateurs d’iOS, préserver sa capacité à intercepter et à suivre leurs communications”, allègue la plainte.
Selon les plaintes, “Meta a reconnu qu’il suivait l’activité de navigation dans l’application des utilisateurs de Facebook” lorsque Krause a signalé le problème à son programme de primes aux bogues. Les plaintes indiquent que Meta a également confirmé à l’époque qu’il utilise les données collectées lors de la navigation dans l’application pour la publicité ciblée.