Des chercheurs viennent de montrer que des applications Meta (Facebook et Instagram) étaient capables de suivre la navigation des internautes sous Android, en passant par une méthode interdite par Google, mais fonctionnelle. En théorie, les applications Android (et iOS, nous le verrons) ne peuvent pas accéder aux données du navigateur, les systèmes d'exploitation mobiles séparant normalement totalement les applications. Mais la solution mise en place en septembre 2024 par Meta — et coupée le lendemain de la médiatisation du problème, évidemment une coïncidence — et dès 2017 par Yandex permet de contourner les limites du bac à sable.
Le fonctionnement est assez simple dans l'absolu : les applications qui ont accès à Internet peuvent écouter sur l'adresse IP locale (127.0.0.1) et du code JavaScript intégré dans de nombreuses pages permet ensuite d'effectuer un lien entre l'identifiant publicitaire de l'appareil (qu'une app peut obtenir) et les données de navigation d'un utilisateur dans un navigateur, deux informations qui sont normalement totalement séparées. Sur un smartphone Android sur lequel l'app Facebook ou l'app Instagram étaient installées, il était donc possible pour Meta de suivre la navigation de l'internaute, même en navigation privée et sans que la personne soit connectée à un service Meta (ou Yandex) dans le navigateur.
Les chercheurs qui ont remarqué cette méthode ont publié des explications techniques sur le fonctionnement exact du problème, avec notamment une liste de sites web qui contiennent le code JavaScript en question. Ils expliquent par ailleurs que cette solution permet aussi de faire fuiter l'historique de navigation, même si la navigation privée est activée. Ils montrent que les navigateurs basés sur Chromium sont touchés, mais que des corrections en cours de déploiement devraient empêcher la mise en place de ce type de suivi. Plus spécifiquement, Chrome ou Edge sont touchés, mais Brave bloque cette possibilité depuis 2022. Firefox, lui, est vulnérable à la méthode de Yandex, mais pas à celle de Meta.
Qu'en est-il d'iOS ?
Pour ce qui est d'iOS, les chercheurs expliquent qu'ils n'ont pas mis en évidence de cas d'abus de ce type (contrairement à Android, donc). Mais il insiste aussi sur le fait que cette méthode de suivi est a priori techniquement possible sous iOS avec les navigateurs basés sur WebKit, même si les contraintes sur l'exécution des applications en arrière-plan sous iOS rendent la mise en place compliquée. Ils indiquent aussi que la méthode pourrait fonctionner sur les systèmes d'exploitation de bureau (Windows, macOS, etc.) et ceux des Smart TV, mais qu'ils n’ont pas encore fait assez de recherches sur ces plateformes.
