Si vous visitez un site Web que vous voyez sur Facebook et Instagram, vous avez probablement remarqué que vous n’êtes pas redirigé vers le navigateur de votre choix, mais plutôt vers un navigateur intégré à l’application. Il s’avère que ces navigateurs injectent du code javascript dans chaque site Web visité, permettant au parent Meta de vous suivre potentiellement sur les sites Web, a découvert le chercheur Felix Krause.
« L’application Instagram injecte son code de suivi dans chaque site Web affiché, y compris lorsque vous cliquez sur des publicités, leur permettant [to] surveiller toutes les interactions des utilisateurs, comme chaque bouton et lien tapé, les sélections de texte, les captures d’écran, ainsi que toutes les entrées de formulaire, comme les mots de passe, les adresses et les numéros de carte de crédit », a déclaré Krause dans un article de blog.
Ses recherches ont porté sur les versions iOS de Facebook et Instagram. C’est essentiel car Apple permet aux utilisateurs d’activer ou de désactiver le suivi des applications lorsqu’ils ouvrent une application pour la première fois, via sa transparence du suivi des applications (ATT) introduite dans iOS 14.5. Meta a précédemment déclaré que la fonctionnalité était « un vent contraire sur notre entreprise 2022 … de l’ordre de 10 milliards de dollars ».
Meta a déclaré que le code de suivi injecté obéissait aux préférences des utilisateurs sur ATT. « Le code nous permet d’agréger les données des utilisateurs avant de les utiliser à des fins de publicité ciblée ou de mesure », a déclaré un porte-parole. Le gardien. « Nous n’ajoutons aucun pixel. Le code est injecté afin que nous puissions agréger les événements de conversion à partir de pixels. Pour les achats effectués via le navigateur intégré à l’application, nous demandons le consentement de l’utilisateur pour enregistrer les informations de paiement à des fins de remplissage automatique. »
Krause a noté que Facebook n’utilisait pas nécessairement l’injection de javascript pour collecter des données sensibles. Cependant, si les applications ouvraient le navigateur préféré des utilisateurs comme Safari ou Firefox, il n’y aurait aucun moyen de faire une injection javascript similaire sur un site sécurisé. En revanche, l’approche utilisée par les navigateurs intégrés Instagram et Facebook « fonctionne pour n’importe quel site Web, qu’il soit crypté ou non », a-t-il déclaré.
Selon les recherches de Krause, WhatsApp ne modifie pas les sites Web tiers de la même manière. En tant que tel, il suggère que Meta fasse de même avec Facebook et Instagram, ou utilise simplement Safari ou un autre navigateur pour ouvrir des liens. « C’est ce qu’il y a de mieux pour l’utilisateur et la bonne chose à faire. » Pour en savoir plus, consultez le résumé de ses conclusions ici.
Tous les produits recommandés par Engadget sont sélectionnés par notre équipe éditoriale, indépendante de notre maison mère. Certaines de nos histoires incluent des liens d’affiliation. Si vous achetez quelque chose via l’un de ces liens, nous pouvons gagner une commission d’affiliation.