La mise à jour majeure d’Apple sur la confidentialité d’iOS l’année dernière a rendu beaucoup plus difficile pour les applications de suivre le comportement des utilisateurs au-delà de leurs propres frontières, mais un nouveau procès allègue que la société mère de Facebook et d’Instagram, Meta, a continué à espionner une solution de contournement.
La plainte, déposée auprès du tribunal de district américain du district nord de Californie et intégrée ci-dessous, allègue que Meta a éludé les nouvelles restrictions d’Apple en surveillant les utilisateurs via le navigateur intégré à l’application de Facebook, qui ouvre des liens dans l’application. Le recours collectif proposé, signalé pour la première fois par Bloomberg, pourrait permettre à toute personne concernée de se connecter, ce qui, dans le cas de Facebook, pourrait signifier des centaines de millions d’utilisateurs américains.
Dans le procès, deux utilisateurs de Facebook allèguent que Meta viole non seulement les politiques d’Apple, mais enfreint également les lois sur la confidentialité aux niveaux étatique et fédéral, y compris la loi sur l’écoute électronique, qui a rendu illégale l’interception de communications électroniques sans consentement. Une autre plainte similaire (Mitchell c. Meta Platforms Inc.) a été déposée la semaine dernière.
Les plaignants allèguent que Meta suit l’activité en ligne des utilisateurs en les dirigeant vers le navigateur Web intégré à Facebook et en injectant du JavaScript dans les sites qu’ils visitent. Ce code permet à l’entreprise de surveiller « chaque interaction avec des sites Web externes », y compris où ils tapent, et quels mots de passe et autres textes ils entrent :
Désormais, même lorsque les utilisateurs ne consentent pas à être suivis, Meta suit l’activité en ligne des utilisateurs de Facebook et les communications avec des sites Web tiers externes en injectant du code JavaScript dans ces sites. Lorsque les utilisateurs cliquent sur un lien dans l’application Facebook, Meta les dirige automatiquement vers le navigateur intégré à l’application qu’il surveille au lieu du navigateur par défaut du smartphone, sans dire aux utilisateurs que cela se produit ou qu’ils sont suivis.
Apple a introduit iOS 14.5 en avril de l’année dernière, portant un coup dur aux sociétés de médias sociaux comme Meta qui s’appuyaient sur le suivi du comportement des utilisateurs à des fins publicitaires. La société a cité les changements d’iOS spécifiquement dans ses appels gagnants alors qu’elle préparait les investisseurs à s’adapter à la nouvelle norme pour son activité de ciblage publicitaire, décrivant les changements de confidentialité d’Apple comme un « vent contraire » qu’elle devrait surmonter.
Dans une déclaration envoyée par e-mail à TechCrunch, un porte-parole de Meta a déclaré que les allégations étaient « sans fondement » et que la société se défendrait « vigoureusement ». « Nous avons soigneusement conçu notre navigateur intégré à l’application pour respecter les choix de confidentialité des utilisateurs, y compris la manière dont les données peuvent être utilisées pour les publicités », a déclaré le porte-parole.
Dans la nouvelle invite de confidentialité iOS, Apple demande si un utilisateur consent à ce que son activité soit suivie « sur les applications et les sites Web d’autres entreprises ». Les utilisateurs qui se désengagent peuvent raisonnablement croire qu’ils sont sur un navigateur Web externe lorsqu’ils ouvrent des liens dans Facebook ou Instagram, bien que l’entreprise prétende probablement le contraire.
Le mois dernier, le chercheur en sécurité Felix Krause a fait part de ses inquiétudes concernant les navigateurs intégrés à l’application Facebook et Instagram et le procès s’inspire largement de son rapport. Il a exhorté Meta à envoyer les utilisateurs vers Safari ou un autre navigateur externe pour combler la faille.
« Faites ce que Meta fait déjà avec WhatsApp : arrêtez de modifier les sites Web tiers et utilisez Safari ou SFSafariViewController pour tous les sites Web tiers », a écrit Krause dans un article de blog. « C’est ce qu’il y a de mieux pour l’utilisateur et la bonne chose à faire. »