À chaque jour son nouveau scandale Facebook, ou presque. TechCrunch a révélé que depuis 2016, le réseau social rémunérait jusqu’à 20 $ par mois des utilisateurs âgés de 13 à 35 ans pour absolument tout savoir de leurs faits et gestes sur leurs smartphones. En interne, cette initiative — qui ne redorera pas le blason de Facebook — a été baptisée « Project Atlas ».
Ces cobayes prêts à vendre leur vie numérique pour trois francs six sous devaient télécharger une application baptisée Facebook Research, qui basiquement installe un VPN : toutes les données transitent par le réseau privé mis en place par cette app. Son mode de fonctionnement est similaire à celui d’Onavo, le VPN un temps proposé au sein même du client Facebook. Apple a fini par obtenir le retrait de cette application.
Au contraire d’Onavo, Facebook Research devait être téléchargé non pas depuis l’App Store, mais via un certificat d’entreprise. Cette technique permet de déployer des apps internes au sein d’une flotte d’appareils iOS sans la limitation de TestFlight (10 000 utilisateurs maximum), réservé aux développeurs.
Une fois que l’utilisateur donne son aval à l’installation de cette application, cette dernière peut siphonner un maximum de données provenant du smartphone. Tout y passe : conversations chiffrées dans les messageries instantanées, courriels, recherche sur internet, navigation web, localisation… Au bonheur du mateur.
D’après l’expert en sécurité Will Strafach, Facebook Research et Onavo partagent beaucoup de points en commun, que ce soit dans le code de ces applications ou l’adresse IP où les données sont envoyées. Il se trouve que ce sont les mêmes personnes qui, au sein de Facebook, sont chargées du développement de ces apps…
Histoire de masquer son forfait, Facebook a utilisé plusieurs prête-noms pour diffuser cette application-espion : le réseau social est passé par des services de bêta-testing comme Applause, BetaBound et uTest afin de recruter des participants.
Le réseau social a expliqué à TechCrunch que l’app Research respectait le programme de certification d’entreprise d’Apple. Or, dans les conditions d’utilisation de ce programme, il est clairement indiqué que l’entreprise a interdiction de distribuer des apps certifiées à des utilisateurs non employés sans supervision directe.
De l’exploitation monnayée des données d’enfants et d’adolescents à l’utilisation dévoyée du programme de certification d’entreprise d’Apple, tout accable Facebook dans cette histoire. Le réseau social n’en est pas à sa première tentative de blouser les utilisateurs afin de leur soutirer le maximum d’informations.
Quelques heures après la révélation de cette nouvelle filouterie, Facebook a décidé de lui-même d’en terminer avec ce programme et cette application… sur iOS uniquement. L’entreprise de Mark Zuckerberg continuera de pomper allègrement des données sur Android.
Voilà qui ne va pas améliorer les relations, déjà glaciales, entre Apple et Facebook. Mark Zuckerberg et Tim Cook se sont lancé des piques tout au long de l’année dernière concernant la question de la confidentialité des données et le respect de la vie privée. Le fondateur du réseau social a beau jurer ses grands dieux que les utilisateurs ont le contrôle sur les données qu’ils partagent avec l’entreprise (encore tout récemment dans une tribune parue dans Le Monde), la réalité lui donne régulièrement tort.
Apple n’a pas eu à révoquer le certificat d’entreprise utilisé indument par Facebook. Mais beaucoup se demandent désormais si le constructeur ne devrait pas tout simplement retirer le client Facebook de l’App Store, au vu des multiples infractions dont s’est rendu coupable son éditeur. Au vu des engagements pris par Apple pour défendre le droit à la vie privée, le débat mériterait d’être posé.
Mise à jour — Apple a en fait révoqué le certificat d’entreprise pour l’application Facebook Research, précise un porte-parole du constructeur à Recode. Facebook a bien enfreint la lettre et l’esprit du programme : « Tout développeur qui utilise les certificats d’entreprise pour distribuer des apps à des utilisateurs verra son certificat révoqué, ce que nous avons fait [dans le cas de Facebook] pour protéger nos utilisateurs et leurs données ».