Meta et Yandex traquaient la navigation des utilisateurs d’Android via leurs applications
Pwned
Des chercheurs ont découvert que les applications de Meta et Yandex, souvent déjà installées, traquaient les activités des utilisateurs d'Android sur n'importe quel navigateur. Ce système leur permettait de désanonymiser les données récoltées via leurs traqueurs web (Meta Pixel et Yandex Metrica).
Meta et Yandex ont contourné les protections de sécurité et de respect de la vie privée d'Android pour désanonymiser les informations récoltées via leur système de tracking sur le web, ont découvert le chercheur Narseo Vallina-Rodriguez et ses collègues. Ceux-ci ont publié le détail de leurs observations directement sur un site GitHub.
S'ils ont observé ce mécanisme sur Android, ils expliquent n'avoir rien trouvé sur iOS. Mais ils ajoutent : « cela dit, un partage de données similaire entre les navigateurs iOS et les applications natives est techniquement possible ».
Les deux entreprises ont mis en place depuis longtemps des systèmes qui permettent de récolter des informations sur les visiteurs de sites web : Yandex Metrica et Meta Pixel. L'entreprise russe présente son outil aux responsables de sites comme un moyen de récupérer « toutes les informations que vous avez toujours voulu connaître sur votre site web ». De son côté, l'entreprise étasunienne les pousse à ajouter « un morceau de code à votre site web, qui vous permet de mesurer, d’optimiser et de créer des audiences pour vos campagnes publicitaires ». Mais ces quelques lignes de JavaScript ajoutées sur un bon nombre de sites web permettaient aussi à ces entreprises de récupérer des données sur les utilisateurs de leurs services sur Android.
Envoi d'informations via le serveur local
En effet, les chercheurs ont découvert que les applications de Meta (Facebook, Instagram) et celles de Yandex (dont l'appli de navigation et le navigateur) recevaient « les métadonnées, les cookies et les commandes des navigateurs » via Yandex Metrica et Meta Pixel.
Ces traqueurs récupèrent ces informations au gré de l'utilisation de n'importe quel navigateur installé sur le smartphone. Mais ils se connectaient également en silence avec ces applications via une connexion interne au téléphone (socket localhost) utilisant des ports UDP et TCP locaux au smartphone.
Les chercheurs observent qu'Android permet à toute application installée disposant d'une autorisation d'accès à internet d'ouvrir un socket qui écoute sur l'adresse locale (127.0.0.1, localhost) de l'appareil.
« Cela permet au JavaScript intégré dans les pages web de communiquer avec les applications Android natives et de partager les identifiants et les habitudes de navigation, en établissant un pont entre les identifiants web éphémères et les identifiants d'applications mobiles à long terme à l'aide d'API web standard », expliquent-ils.
« Puisque les applications natives accèdent par programmation aux identifiants des appareils tels que l'Android Advertising ID (AAID) ou gèrent l'identité des utilisateurs comme dans le cas des applications Meta, cette méthode permet effectivement à ces organisations de relier les sessions de navigation mobile et les cookies web aux identités des utilisateurs, et donc de désanonymiser les utilisateurs qui visitent des sites intégrant leurs scripts », ajoutent les chercheurs.
Un système mis en place depuis 2017 par Yandex et depuis quelques mois par Meta
Selon eux, Yandex avait mis en place ce système depuis 2017. Du côté de Meta, cette désanonymisation des données de son traqueur date « seulement » de septembre 2024.
Ils constatent que cette méthode met en échec « l'isolation inter-processus d'Android et ses protections de suivi basées sur le partitionnement, le sandboxing ou l'effacement de l'état côté client ».
Pris les doigts dans le pot de confiture, Meta et Yandex mettent sur pause
Interrogée par ArsTechnica, Google explique que ces comportements violent les conditions de service de Google Play et les attentes des utilisateurs d'Android en matière de protection de la vie privée. « Nous avons déjà mis en œuvre des changements pour atténuer ces techniques invasives, nous avons ouvert notre propre enquête et nous sommes directement en contact avec les parties », affirme un de ses représentants.
Meta n'a pas répondu aux questions de notre confrère, mais a assuré être en discussion avec Google « pour remédier à une éventuelle erreur de communication concernant l'application de leurs politiques ». L'entreprise ajoute avoir décidé de suspendre « cette fonctionnalité pendant que [elle travaille] avec Google pour résoudre le problème ».
Dans une mise à jour sur leur site, les chercheurs confirment que « le script Meta/Facebook Pixel n'envoie plus de paquets ou de requêtes à localhost. Le code responsable de l'envoi du cookie _fbp a été presque entièrement supprimé ».
Yandex affirme aussi à ArsTechnica avoir arrêté et être en contact avec Google. « Yandex respecte strictement les normes de protection des données et ne désanonymise pas les données des utilisateurs », jure l'entreprise. Elle ajoute que « la fonctionnalité en question ne collecte aucune information sensible et a pour seul but d'améliorer la personnalisation dans nos applications ».
Brave protégé, Microsoft ne répond pas, les autres patchent
Les chercheurs ont travaillé avec les équipes de plusieurs navigateurs (Chrome, Mozilla, DuckDuckGo, et Brave). Du côté de Brave, « les communications vers localhost requièrent le consentement de l'utilisateur depuis 2022 et une liste de blocage est en place », ce qui permet au navigateur de ne pas être affecté. DuckDuckGo utilise aussi une liste de blocage qu'il a dû mettre à jour pour parer le système mis en place par Yandex.
Firefox n'est touché que par la méthode de Yandex. Les chercheurs expliquent que la résolution est en cours, sans plus de détails. La version 137 de Chrome embarque des contre-mesures contre les méthodes de Meta et de Yandex qui semblent fonctionner, mais les chercheurs proposent une autre solution à plus long terme. Enfin, bien que le navigateur Edge de Microsoft soit touché par les deux méthodes, l'équipe de Narseo Vallina-Rodriguez n'a pas d'information sur d'éventuels patchs.
Concernant des implications légales sur la violation du consentement des utilisateurs, il semble que « ces pratiques ont pu être mises en œuvre sur des sites web sans formulaires de consentement explicites et appropriés pour les cookies ». « Si un site charge les scripts Facebook ou Yandex avant que l'utilisateur n'ait donné son accord pour les cookies appropriés, ce comportement se déclenchera quand même », estiment les chercheurs, tout en précisant que ceci ne se base que sur des résultats préliminaires.
Commentaires (19)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 04/06/2025 à 14h10
J'espère que l'Europe, au cas où les informations sont avéré (ce qui semble être le cas), infligera un TRES forte ammende à META.
Le 04/06/2025 à 15h43
Même une « très forte » amende par l'UE ne représentera que du pipi de chat dans l'océan des profits qu'ils ont fait avec cette politique et il est fort probable qu'ils aient même provisionné de l'argent pour ce « risque ». En plus, la procédure prendra 10 ans entre les recours et autre pour finir annulée par la CJUE comme ça avait été le cas il y a quelques années avec je ne sais plus quelle amende.
Bref : les sanctions de l'UE ils s'en cognent. La seule qui serait valable c'est l'interdiction d'accès au marché de l'UE avec blocage des paiements.
Le 04/06/2025 à 15h57
Pour la CNIL et le RGPD c'est déjà prévu dans les texte :
"Avec le RGPD (règlement général sur la protection des données), le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques.[...]
https://www.cnil.fr/fr/missions/mission-4-controler-et-sanctionner#:~:text=Avec%20le%20RGPD%20(r%C3%A8glement%20g%C3%A9n%C3%A9ral,sanctions%20peuvent%20%C3%AAtre%20rendues%20publiques.
Modifié le 05/06/2025 à 08h25
Ça réglerais le problème à grande échelle (100% du CA; yeah !!) pour ceux qui ne savent pas passer par ADB pour les désactiver complètement au démarrage (désinstallation du profil utilisateur).
Le 05/06/2025 à 08h52
Comme dit, ce n'est pas la première fois que les apps natives abusent de contournements.
En 2015/2016 on remarquait déjà qu'utiliser l'app native Facebook diminuait de 30% l'autonomie.
Pour s'imposer un peu, Facebook avait supprimé le messenger web mobile pour utiliser l'app native.
Bon le mieux est de s'en passer complètement, mais qu'on DOIT faire avec… vaut mieux s'impliquer au minimum.
Le 04/06/2025 à 16h47
Malheureusement.
A l'insu du plein gré de la boite.
D'ailleurs on a pas gardé le stagiaire.
Le 04/06/2025 à 18h50
Le 04/06/2025 à 14h20
Le 04/06/2025 à 21h47
Le 04/06/2025 à 14h59
Le 04/06/2025 à 15h51
Le 04/06/2025 à 15h52
Donc en résumé, il n'y a que Google qui a le droit d'espionner les utilisateurs et utilisatrices d'Android
Le 04/06/2025 à 15h54
Le 04/06/2025 à 16h34
Le 05/06/2025 à 08h28
Le 04/06/2025 à 16h54
Ce n'est pas une violation de la cross domain policy ?
Le 05/06/2025 à 14h36
Tu installes quelques vampires comme ça sur ton site et à la fin ça rentre même plus dans les en-têtes HTTP.
Le 04/06/2025 à 16h58
Modifié le 04/06/2025 à 19h28