Projet Ghostbusters : comment Facebook a espionné le trafic chiffré de Snapchat

Dans le cadre d'un procès de publicitaires contre Meta sur son comportement anticoncurrentiel, des emails entre Mark Zuckerberg et ses équipes montrent que l'entreprise a mis en place un système pour espionner le trafic chiffré de Snapchat et ainsi connaître le fonctionnement de l'engagement dans l'application de son rival.

En 2016, Facebook (qui ne s'était pas encore renommé Meta) est parti à la chasse aux fantômes pour connaître, par tous les moyens, quel était le fonctionnement de son nouveau rival à l'icône en forme de petit spectre sur fond jaune. À l'époque, Snapchat est l'application qui monte et qui menace l'hégémonie de l'entreprise de Mark Zuckerberg sur le marché publicitaire sur les réseaux sociaux.

Facebook veut savoir comment Snapchat attire des annonceurs de façon agressive en prévision de son entrée en bourse. Mais problème : tout le trafic de Snapchat est chiffré et Facebook ne peut pas analyser le fonctionnement de l'application de son concurrent.

Demande explicite de Mark Zuckerberg

En 2017, le Washington Post révélait déjà que Facebook utilisait le VPN de la startup israélienne Onavo (qu'elle a rachetée en 2013) pour monitorer les apps de ses concurrents sur les smartphones des clients d'Onavo. Ces informations ont d'ailleurs permis à l'entreprise de Mark Zuckerberg de repérer que WhatsApp était une bonne cible à acheter en 2014.

Mais Snapchat chiffrant déjà toutes ses données à l'époque, le VPN d'Onavo était inutilisable pour surveiller cette application. Dans leur déposition [PDF] repérée par Business Insider, les avocats des publicitaires citent plusieurs emails internes à Facebook sur le sujet.

Dans l'un d'eux, Sheryl Sandberg, alors directrice de l'exploitation de Facebook, expliquait que « Snapchat […] apparaît dans toutes les réunions et toutes les conversations sur la publicité », à la conférence de Davos de 2016.

Cela correspond bien à la déposition du directeur de la croissance de Snapchat David Levenson cité par les publicitaires qui a expliqué que pour contrecarrer la montée en puissance de Snapchat sur le marché publicitaire, Facebook a voulu tout faire pour que les annonceurs ne voient pas la différence entre Snapchat, Facebook et Instagram.

Dans un autre email, venant directement de Mark Zuckerberg, envoyé le 9 juin 2016 Javier Olivan, à l'époque responsable de la croissance de l'entreprise, dont le sujet est « Snapchat analytics », le PDG de Facebook écrit :

« Dès que quelqu'un pose une question sur Snapchat, la réponse est souvent qu'on n'a pas de données sur eux parce que leur trafic est chiffré. Vu la manière dont ils grossissent, il semble important de trouver une manière d'obtenir des analyses fiables à propos d'eux. Peut-être que nous avons besoin de faire des panels ou d'écrire notre propre logiciel pour le faire. Vous devriez trouver comment faire. »

Le document déposé par les avocats explique qu'une « taskforce » d'Onavo Research a été mise en place quelques heures après cet email pour trouver une solution technique pour « obtenir et analyser le trafic analytique chiffré de Snapchat pour le gain concurrentiel de Meta ». Ce nouveau programme appelé « In-App Action Panel » était aussi surnommé « Ghostbusters » en interne en référence directe au fameux fantôme du logo de Snapshat.

Man-in-the-middle

L'équipe d'Onavo aurait proposé, toujours selon ce document, « des "kits" qui peuvent être installés sur iOS et Android et qui interceptent le trafic pour des sous-domaines spécifiques, nous permettant de lire ce qui serait autrement un trafic chiffré afin de pouvoir mesurer l'utilisation in-app ». Clarifiant le procédé, l'équipe ajoutait « c'est une approche ‘man-in-the-middle’ ».

Et en novembre 2016, le responsable du projet aurait expliqué dans une note adressée directement à Mark Zuckerberg que la fonction de surveillance de Snapchat était opérationnelle : « nous avons maintenant la capacité de mesurer l'activité détaillée dans l'application, qui provient de l'analyse des données de Snapchat recueillies auprès des participants motivés du programme de recherche d'Onavo ».

Les avocats des publicitaires affirment que Facebook a ensuite étendu ce programme pour surveiller le fonctionnement des apps de YouTube et d'Amazon.

Des responsables pas unanimes

Dans un autre document [PDF] déposé par les mêmes avocats, on peut constater que le projet ne faisait pas totalement consensus au sein même des responsables de Facebook. On peut y lire Pedro Canahuati, alors responsable de l'ingénierie de sécurité et maintenant chez 1Password, y expliquer que « Jay [Parikh, alors responsable de l'ingénierie d'infrastructure et actuellement co-CEO chez Lacework] a signalé il y a longtemps que nous ne devrions pas faire de ‘man-in-the-middle’ ».

Il ajoute que « je n'arrive pas à trouver un bon argument pour expliquer pourquoi c'est acceptable. Aucune personne chargée de la sécurité n'est à l'aise avec cela, quel que soit le consentement que nous obtenons du grand public. Le grand public ne sait tout simplement pas comment ces choses fonctionnent ».

Le responsable de la technologie de l'époque chez Facebook, Mike Schroepfer, avait aussi réagi en écrivant que « si nous découvrions que quelqu'un avait trouvé un moyen de casser le chiffrement de [WhatsApp], nous serions vraiment contrariés ».

Utilisation des données d'adolescents

Ce n'est finalement qu'en 2019 que Facebook a fermé Onavo, suite à une enquête de TechCrunch révélant que l'entreprise payait des adolescents pour qu'ils installent le VPN et ainsi avoir accès à leur activité sur internet.

Interrogé par Business Insider, un porte-parole de Meta a déclaré qu' « il n'y a rien de nouveau ici – cette question a fait l'objet d'un rapport il y a des années. Les réclamations des plaignants sont sans fondement et sans rapport avec l'affaire ».

Le média américain fait remarquer que « si l'existence des travaux d'Onavo visant à suivre l'utilisation des applications concurrentes a été rapportée, ce n’était pas le cas des détails des actions de Meta, des cadres impliqués et des communications qui les ont entourés ».