Dans le cadre d'un procès de publicitaires contre Meta sur son comportement anticoncurrentiel, des emails entre Mark Zuckerberg et ses équipes montrent que l'entreprise a mis en place un système pour espionner le trafic chiffré de Snapchat et ainsi connaître le fonctionnement de l'engagement dans l'application de son rival.
En 2016, Facebook (qui ne s'était pas encore renommé Meta) est parti à la chasse aux fantômes pour connaître, par tous les moyens, quel était le fonctionnement de son nouveau rival à l'icône en forme de petit spectre sur fond jaune. À l'époque, Snapchat est l'application qui monte et qui menace l'hégémonie de l'entreprise de Mark Zuckerberg sur le marché publicitaire sur les réseaux sociaux.
Facebook veut savoir comment Snapchat attire des annonceurs de façon agressive en prévision de son entrée en bourse. Mais problème : tout le trafic de Snapchat est chiffré et Facebook ne peut pas analyser le fonctionnement de l'application de son concurrent.
Demande explicite de Mark Zuckerberg
En 2017, le Washington Post révélait déjà que Facebook utilisait le VPN de la startup israélienne Onavo (qu'elle a rachetée en 2013) pour monitorer les apps de ses concurrents sur les smartphones des clients d'Onavo. Ces informations ont d'ailleurs permis à l'entreprise de Mark Zuckerberg de repérer que WhatsApp était une bonne cible à acheter en 2014.
Mais Snapchat chiffrant déjà toutes ses données à l'époque, le VPN d'Onavo était inutilisable pour surveiller cette application. Dans leur déposition [PDF] repérée par Business Insider, les avocats des publicitaires citent plusieurs emails internes à Facebook sur le sujet.
Dans l'un d'eux, Sheryl Sandberg, alors directrice de l'exploitation de Facebook, expliquait que « Snapchat […] apparaît dans toutes les réunions et toutes les conversations sur la publicité », à la conférence de Davos de 2016.
Cela correspond bien à la déposition du directeur de la croissance de Snapchat David Levenson cité par les publicitaires qui a expliqué que pour contrecarrer la montée en puissance de Snapchat sur le marché publicitaire, Facebook a voulu tout faire pour que les annonceurs ne voient pas la différence entre Snapchat, Facebook et Instagram.
Dans un autre email, venant directement de Mark Zuckerberg, envoyé le 9 juin 2016 Javier Olivan, à l'époque responsable de la croissance de l'entreprise, dont le sujet est « Snapchat analytics », le PDG de Facebook écrit :
« Dès que quelqu'un pose une question sur Snapchat, la réponse est souvent qu'on n'a pas de données sur eux parce que leur trafic est chiffré. Vu la manière dont ils grossissent, il semble important de trouver une manière d'obtenir des analyses fiables à propos d'eux. Peut-être que nous avons besoin de faire des panels ou d'écrire notre propre logiciel pour le faire. Vous devriez trouver comment faire. »
Le document déposé par les avocats explique qu'une « taskforce » d'Onavo Research a été mise en place quelques heures après cet email pour trouver une solution technique pour « obtenir et analyser le trafic analytique chiffré de Snapchat pour le gain concurrentiel de Meta ». Ce nouveau programme appelé « In-App Action Panel » était aussi surnommé « Ghostbusters » en interne en référence directe au fameux fantôme du logo de Snapshat.
Man-in-the-middle
L'équipe d'Onavo aurait proposé, toujours selon ce document, « des "kits" qui peuvent être installés sur iOS et Android et qui interceptent le trafic pour des sous-domaines spécifiques, nous permettant de lire ce qui serait autrement un trafic chiffré afin de pouvoir mesurer l'utilisation in-app ». Clarifiant le procédé, l'équipe ajoutait « c'est une approche ‘man-in-the-middle’ ».
Et en novembre 2016, le responsable du projet aurait expliqué dans une note adressée directement à Mark Zuckerberg que la fonction de surveillance de Snapchat était opérationnelle : « nous avons maintenant la capacité de mesurer l'activité détaillée dans l'application, qui provient de l'analyse des données de Snapchat recueillies auprès des participants motivés du programme de recherche d'Onavo ».
Les avocats des publicitaires affirment que Facebook a ensuite étendu ce programme pour surveiller le fonctionnement des apps de YouTube et d'Amazon.
Des responsables pas unanimes
Dans un autre document [PDF] déposé par les mêmes avocats, on peut constater que le projet ne faisait pas totalement consensus au sein même des responsables de Facebook. On peut y lire Pedro Canahuati, alors responsable de l'ingénierie de sécurité et maintenant chez 1Password, y expliquer que « Jay [Parikh, alors responsable de l'ingénierie d'infrastructure et actuellement co-CEO chez Lacework] a signalé il y a longtemps que nous ne devrions pas faire de ‘man-in-the-middle’ ».
Il ajoute que « je n'arrive pas à trouver un bon argument pour expliquer pourquoi c'est acceptable. Aucune personne chargée de la sécurité n'est à l'aise avec cela, quel que soit le consentement que nous obtenons du grand public. Le grand public ne sait tout simplement pas comment ces choses fonctionnent ».
Le responsable de la technologie de l'époque chez Facebook, Mike Schroepfer, avait aussi réagi en écrivant que « si nous découvrions que quelqu'un avait trouvé un moyen de casser le chiffrement de [WhatsApp], nous serions vraiment contrariés ».
Utilisation des données d'adolescents
Ce n'est finalement qu'en 2019 que Facebook a fermé Onavo, suite à une enquête de TechCrunch révélant que l'entreprise payait des adolescents pour qu'ils installent le VPN et ainsi avoir accès à leur activité sur internet.
Interrogé par Business Insider, un porte-parole de Meta a déclaré qu' « il n'y a rien de nouveau ici – cette question a fait l'objet d'un rapport il y a des années. Les réclamations des plaignants sont sans fondement et sans rapport avec l'affaire ».
Le média américain fait remarquer que « si l'existence des travaux d'Onavo visant à suivre l'utilisation des applications concurrentes a été rapportée, ce n’était pas le cas des détails des actions de Meta, des cadres impliqués et des communications qui les ont entourés ».
Commentaires (21)
#1
Quand on lit le PDF, on voit qu'ils installaient un root certificate généré par Facebook sur la machine cible et redirigeaient le trafic avec Snapchat vers les serveurs d'Onavo. Ils déchiffraient et rechiffraient les échanges pour passer du certificat de Snapchat à leur propre certificat validé par leur certificat racine.
Comme dit dans l'article et le PDF, le grand public ne comprend pas de quoi il s'agit quand on lui demande d'accepter d'installer un tel spyware. Ils payaient des gens pour installer ça sur leurs mobiles.
Ce sont de vrais pourris !
Historique des modifications :
Posté le 27/03/2024 à 17h24
Quand on lit le PDF, on voit qu'ils installaient un root certificate généré par Facebook sur la machine cible et redirigeaient le trafic avec Snapchat vers les serveurs d'Onavo. Ils déchiffraient et rechiffraient les échanges pour passer du certificat de Snapchat à leur propre certificat validé par leur certificat racine.
Comme dit dans l'article et le PDF, le grand public ne comprend pas de quoi il s'agit quand on lui demande d'accepter d'installer un tel spyware. Ils payaient des gens pour installer ça sur leur mobiles.
Ce sont de vrais pourris !
#1.1
#2
une astérisque pour dire que c'est un accord technique*, mais pas un véritable accord (dans le sens consentement) dans le sens où bien peu avait réellement connaissance du sujet je pense.
#2.1
#2.2
En tout cas, le sous-titre est très bon.
#2.3
Pour le titre, je suis peut être trop tatillon, mais la langue française est pleine de nuance, et les affirmations suivantes, bien que globalement identique, sont très différentes :
- comment Facebook a espionné le trafic chiffré de Snapchat
- comment Facebook a espionné (une partie) du trafic chiffré de Snapchat
Dans le premier cas, je comprends tout le trafic (avec un seul F !!! ;) ). Dans le second, qu'il s'agit plutôt d'un espionnage ciblé.
L'ambiguïté est vite levé en lisant l'article, mais il faut quand même attendre la section suivant l'introduction (Demande explicite de Mark Zuckerberg) pour comprendre que la surveillance ciblait des utilisateurs particuliers (en l'occurrence, ceux du VPN d'Onavo).
[edit]
Par contre, on est d'accord, pas d'ambiguïté sur le sous-titre.
Historique des modifications :
Posté le 28/03/2024 à 08h06
Je me fais avoir à chaque fois sur le nombre de F. Je crois que la prochaine j'en mettrai 3 pour être sûr de me planter !
Pour le titre, je suis peut être trop tatillon, mais la langue française est pleine de nuance, et les affirmations suivantes, bien que globalement identique, sont très différentes :
- comment Facebook a espionné le trafic chiffré de Snapchat
- comment Facebook a espionné (une partie) du trafic chiffré de Snapchat
Dans le premier cas, je comprends tout le trafic (avec un seul F !!! ;) ). Dans le second, qu'il s'agit plutôt d'un espionnage ciblé.
L'ambiguïté est vite levé en lisant l'article, mais il faut quand même attendre la section suivant l'introduction (Demande explicite de Mark Zuckerberg) pour comprendre que la surveillance ciblait des utilisateurs particuliers (en l'occurrence, ceux du VPN d'Onavo).
#2.4
Par contre, ces utilisateurs n'étaient pas ciblés en tant que tels. Ils servaient juste à étudier les échanges de l'appli Snapchat avec les serveurs afin de comprendre pourquoi ils avaient une supériorité au niveau de la publicité.
#2.5
Je suis d'accord, mais là, :
- la nuance est facilement exprimable
- et elle me semble importante (au final, cela ne concerne que très peu d'utilisateurs)
#2.6
#3
#4
Le fond de l'article est intéressant et assez hallucinant, mais la traduction mot à mot des citations fait bien mal à la tête... Laissez les en anglais sinon, on comprendra.
#4.1
Ou pas ! Tout le monde est très loin d'être à l'aise avec l'anglais
#4.2
#5
Rien que sur le principe, ce comportement devrais être très sévèrement punit.
On note quand même la volonté manifeste de la part de Facebook d'espionner Snapchat.
Ce serait intéressant d'avoir l'avis de Snapchat justement qui a mes yeux est la principale victime.
#6
#7
#7.1
Donc, ce VPN était non seulement pas payant, mais en plus ses utilisateurs étaient payés.
#7.2
#7.3
Il faut donc convaincre l'utilisateur d'installer ce certificat racine.
#7.4
#7.5
Sinon, ça serait un trou de sécurité énorme si une appli pouvait le faire toute seule pour toutes les applis du mobile.
Une appli peut le faire (au moins sur Android) mais uniquement pour elle-même. Ça, on peut en comprendre l'utilité.
Mais heureusement qu'une appli de type VPN ne peut pas installer un root certificate pour qu'il soit valide pour Snapchat ou youtube.