Projet Ghostbusters : comment Facebook a espionné le trafic chiffré de Snapchat
Business de la surveillance ou surveillance du business ?
Dans le cadre d'un procès de publicitaires contre Meta sur son comportement anticoncurrentiel, des emails entre Mark Zuckerberg et ses équipes montrent que l'entreprise a mis en place un système pour espionner le trafic chiffré de Snapchat et ainsi connaître le fonctionnement de l'engagement dans l'application de son rival.
Le 27 mars à 16h45
6 min
Réseaux sociaux
Sociaux
En 2016, Facebook (qui ne s'était pas encore renommé Meta) est parti à la chasse aux fantômes pour connaître, par tous les moyens, quel était le fonctionnement de son nouveau rival à l'icône en forme de petit spectre sur fond jaune. À l'époque, Snapchat est l'application qui monte et qui menace l'hégémonie de l'entreprise de Mark Zuckerberg sur le marché publicitaire sur les réseaux sociaux.
Facebook veut savoir comment Snapchat attire des annonceurs de façon agressive en prévision de son entrée en bourse. Mais problème : tout le trafic de Snapchat est chiffré et Facebook ne peut pas analyser le fonctionnement de l'application de son concurrent.
Demande explicite de Mark Zuckerberg
En 2017, le Washington Post révélait déjà que Facebook utilisait le VPN de la startup israélienne Onavo (qu'elle a rachetée en 2013) pour monitorer les apps de ses concurrents sur les smartphones des clients d'Onavo. Ces informations ont d'ailleurs permis à l'entreprise de Mark Zuckerberg de repérer que WhatsApp était une bonne cible à acheter en 2014.
Mais Snapchat chiffrant déjà toutes ses données à l'époque, le VPN d'Onavo était inutilisable pour surveiller cette application. Dans leur déposition [PDF] repérée par Business Insider, les avocats des publicitaires citent plusieurs emails internes à Facebook sur le sujet.
Dans l'un d'eux, Sheryl Sandberg, alors directrice de l'exploitation de Facebook, expliquait que « Snapchat […] apparaît dans toutes les réunions et toutes les conversations sur la publicité », à la conférence de Davos de 2016.
Cela correspond bien à la déposition du directeur de la croissance de Snapchat David Levenson cité par les publicitaires qui a expliqué que pour contrecarrer la montée en puissance de Snapchat sur le marché publicitaire, Facebook a voulu tout faire pour que les annonceurs ne voient pas la différence entre Snapchat, Facebook et Instagram.
Dans un autre email, venant directement de Mark Zuckerberg, envoyé le 9 juin 2016 Javier Olivan, à l'époque responsable de la croissance de l'entreprise, dont le sujet est « Snapchat analytics », le PDG de Facebook écrit :
« Dès que quelqu'un pose une question sur Snapchat, la réponse est souvent qu'on n'a pas de données sur eux parce que leur trafic est chiffré. Vu la manière dont ils grossissent, il semble important de trouver une manière d'obtenir des analyses fiables à propos d'eux. Peut-être que nous avons besoin de faire des panels ou d'écrire notre propre logiciel pour le faire. Vous devriez trouver comment faire. »
Le document déposé par les avocats explique qu'une « taskforce » d'Onavo Research a été mise en place quelques heures après cet email pour trouver une solution technique pour « obtenir et analyser le trafic analytique chiffré de Snapchat pour le gain concurrentiel de Meta ». Ce nouveau programme appelé « In-App Action Panel » était aussi surnommé « Ghostbusters » en interne en référence directe au fameux fantôme du logo de Snapshat.
Man-in-the-middle
L'équipe d'Onavo aurait proposé, toujours selon ce document, « des "kits" qui peuvent être installés sur iOS et Android et qui interceptent le trafic pour des sous-domaines spécifiques, nous permettant de lire ce qui serait autrement un trafic chiffré afin de pouvoir mesurer l'utilisation in-app ». Clarifiant le procédé, l'équipe ajoutait « c'est une approche ‘man-in-the-middle’ ».
Et en novembre 2016, le responsable du projet aurait expliqué dans une note adressée directement à Mark Zuckerberg que la fonction de surveillance de Snapchat était opérationnelle : « nous avons maintenant la capacité de mesurer l'activité détaillée dans l'application, qui provient de l'analyse des données de Snapchat recueillies auprès des participants motivés du programme de recherche d'Onavo ».
Les avocats des publicitaires affirment que Facebook a ensuite étendu ce programme pour surveiller le fonctionnement des apps de YouTube et d'Amazon.
Des responsables pas unanimes
Dans un autre document [PDF] déposé par les mêmes avocats, on peut constater que le projet ne faisait pas totalement consensus au sein même des responsables de Facebook. On peut y lire Pedro Canahuati, alors responsable de l'ingénierie de sécurité et maintenant chez 1Password, y expliquer que « Jay [Parikh, alors responsable de l'ingénierie d'infrastructure et actuellement co-CEO chez Lacework] a signalé il y a longtemps que nous ne devrions pas faire de ‘man-in-the-middle’ ».
Il ajoute que « je n'arrive pas à trouver un bon argument pour expliquer pourquoi c'est acceptable. Aucune personne chargée de la sécurité n'est à l'aise avec cela, quel que soit le consentement que nous obtenons du grand public. Le grand public ne sait tout simplement pas comment ces choses fonctionnent ».
Le responsable de la technologie de l'époque chez Facebook, Mike Schroepfer, avait aussi réagi en écrivant que « si nous découvrions que quelqu'un avait trouvé un moyen de casser le chiffrement de [WhatsApp], nous serions vraiment contrariés ».
Utilisation des données d'adolescents
Ce n'est finalement qu'en 2019 que Facebook a fermé Onavo, suite à une enquête de TechCrunch révélant que l'entreprise payait des adolescents pour qu'ils installent le VPN et ainsi avoir accès à leur activité sur internet.
Interrogé par Business Insider, un porte-parole de Meta a déclaré qu' « il n'y a rien de nouveau ici – cette question a fait l'objet d'un rapport il y a des années. Les réclamations des plaignants sont sans fondement et sans rapport avec l'affaire ».
Le média américain fait remarquer que « si l'existence des travaux d'Onavo visant à suivre l'utilisation des applications concurrentes a été rapportée, ce n’était pas le cas des détails des actions de Meta, des cadres impliqués et des communications qui les ont entourés ».
Projet Ghostbusters : comment Facebook a espionné le trafic chiffré de Snapchat
-
Demande explicite de Mark Zuckerberg
-
Man-in-the-middle
-
Des responsables pas unanimes
-
Utilisation des données d’adolescents
Commentaires (21)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousModifié le 27/03/2024 à 17h53
Comme dit dans l'article et le PDF, le grand public ne comprend pas de quoi il s'agit quand on lui demande d'accepter d'installer un tel spyware. Ils payaient des gens pour installer ça sur leurs mobiles.
Ce sont de vrais pourris !
Le 27/03/2024 à 17h42
Le 27/03/2024 à 17h28
une astérisque pour dire que c'est un accord technique*, mais pas un véritable accord (dans le sens consentement) dans le sens où bien peu avait réellement connaissance du sujet je pense.
Le 27/03/2024 à 17h42
Le 27/03/2024 à 17h46
En tout cas, le sous-titre est très bon.
Modifié le 28/03/2024 à 08h07
Pour le titre, je suis peut être trop tatillon, mais la langue française est pleine de nuance, et les affirmations suivantes, bien que globalement identique, sont très différentes :
- comment Facebook a espionné le trafic chiffré de Snapchat
- comment Facebook a espionné (une partie) du trafic chiffré de Snapchat
Dans le premier cas, je comprends tout le trafic (avec un seul F !!! ;) ). Dans le second, qu'il s'agit plutôt d'un espionnage ciblé.
L'ambiguïté est vite levé en lisant l'article, mais il faut quand même attendre la section suivant l'introduction (Demande explicite de Mark Zuckerberg) pour comprendre que la surveillance ciblait des utilisateurs particuliers (en l'occurrence, ceux du VPN d'Onavo).
[edit]
Par contre, on est d'accord, pas d'ambiguïté sur le sous-titre.
Le 28/03/2024 à 09h44
Par contre, ces utilisateurs n'étaient pas ciblés en tant que tels. Ils servaient juste à étudier les échanges de l'appli Snapchat avec les serveurs afin de comprendre pourquoi ils avaient une supériorité au niveau de la publicité.
Le 28/03/2024 à 09h48
- la nuance est facilement exprimable
- et elle me semble importante (au final, cela ne concerne que très peu d'utilisateurs)
Le 28/03/2024 à 13h38
Le 27/03/2024 à 21h05
Le 27/03/2024 à 22h13
Le fond de l'article est intéressant et assez hallucinant, mais la traduction mot à mot des citations fait bien mal à la tête... Laissez les en anglais sinon, on comprendra.
Le 28/03/2024 à 10h52
Le 28/03/2024 à 13h31
Le 27/03/2024 à 23h01
Rien que sur le principe, ce comportement devrais être très sévèrement punit.
On note quand même la volonté manifeste de la part de Facebook d'espionner Snapchat.
Ce serait intéressant d'avoir l'avis de Snapchat justement qui a mes yeux est la principale victime.
Le 28/03/2024 à 07h34
Le 28/03/2024 à 08h02
Le 28/03/2024 à 09h38
Donc, ce VPN était non seulement pas payant, mais en plus ses utilisateurs étaient payés.
Le 28/03/2024 à 18h36
Le 28/03/2024 à 18h49
Il faut donc convaincre l'utilisateur d'installer ce certificat racine.
Le 28/03/2024 à 20h24
Le 28/03/2024 à 20h37
Sinon, ça serait un trou de sécurité énorme si une appli pouvait le faire toute seule pour toutes les applis du mobile.
Une appli peut le faire (au moins sur Android) mais uniquement pour elle-même. Ça, on peut en comprendre l'utilité.
Mais heureusement qu'une appli de type VPN ne peut pas installer un root certificate pour qu'il soit valide pour Snapchat ou youtube.