Dans une application, les liens vers un site web externe ouvrent généralement la page dans une vue web Safari. Meta a cependant décidé de se passer de cette fonction assez basique pour ses applications Facebook et Instagram. En lieu et place d'une fenêtre Safari, les apps ouvrent les liens externes dans un navigateur maison, développé à partir de WebKit (là dessus, Meta n'a pas le choix) d'après la découverte de Felix Krause.
Rien ne s'oppose à ce que Meta développe un navigateur dédié dans ses propres applications iOS, même si cela demande beaucoup plus de travail et de ressources que de simplement utiliser Safari1. Mais comme toujours avec cette entreprise maléfique, il y a un loup : durant la navigation dans ce navigateur « custom », les applications Instagram et Facebook sont en mesure d'injecter un code JavaScript pour suivre l'utilisateur.
Ce bout de code est connu, il s'appelle Meta Pixel et le portail développeurs de Meta lui consacre même une page décrivant son fonctionnement. Meta Pixel « permet de suivre l'activité du visiteur sur votre site web » : « clic » sur une publicité, un bouton, un lien, sélection et saisie d'un texte (y compris l'adresse, le mot de passe d'un compte, le code de carte bancaire…).
Alors attention, ce n'est pas parce que Meta peut le faire que l'entreprise collecte effectivement toutes ces informations et les exploite pour son compte. Felix Krause ne peut pas déterminer les données collectées par Meta : « je voulais montrer le type de données que la société pourrait obtenir sans que vous le sachiez ». De même, si vous n'avez pas autorisé le suivi ATT dans les apps Facebook et Instagram (via la fameuse fenêtre de demande de suivi), Meta n'est pas en mesure de collecter ces informations… exception faite de l'activité en ligne après l'ouverture d'un lien dans une de ces apps.
Pour l'utilisateur qui ne veut pas être suivi par Meta mais qui n'a pas d'autre choix que d'utiliser Instagram ou Facebook, il est toujours possible d'ouvrir l'URL dans le navigateur par défaut (voir les images ci-dessus) ou tout simplement d'utiliser la version web mobile de ces réseaux sociaux (facebook.com ou instagram.com dans Safari). Apple pourrait également serrer la vis d'une manière ou d'une autre.
Le mode Isolement, une des nouveautés d'iOS 16, aurait pu être une solution mais elle n'a pas été conçue pour ça, a répondu Apple lorsque Felix a posté un radar sur le sujet.
Mise à jour 20h — Meta s'érige en faux face au rapport de Felix Krause. Un porte-parole du groupe explique que « ces affirmations sont fausses et dénaturent le fonctionnement du navigateur intégré de Meta et Meta Pixel. Ce code a été développé précisément pour honorer les choix des utilisateurs en matière de transparence du suivi des applications (ATT) sur nos plateformes ».
Les équipes de Meta sont entrées en contact avec Krause pour lui démontrer en quoi ses affirmations seraient fausses. Le chercheur envisage d'ailleurs de mettre à jour sa publication.
-
Et dire qu'Instagram explique l'absence de version iPad de son application par le manque de ressources 🙄 ↩︎
