Le navigateur web « custom » des apps Facebook et Instagram peut vous suivre à la trace 🆕

Mickaël Bazoge |

Dans une application, les liens vers un site web externe ouvrent généralement la page dans une vue web Safari. Meta a cependant décidé de se passer de cette fonction assez basique pour ses applications Facebook et Instagram. En lieu et place d'une fenêtre Safari, les apps ouvrent les liens externes dans un navigateur maison, développé à partir de WebKit (là dessus, Meta n'a pas le choix) d'après la découverte de Felix Krause.

Le navigateur web intégré à l'app Facebook est un butineur « custom ». On peut ouvrir la page web dans le navigateur par défaut en touchant le menu « ... » en bas à droite.

Rien ne s'oppose à ce que Meta développe un navigateur dédié dans ses propres applications iOS, même si cela demande beaucoup plus de travail et de ressources que de simplement utiliser Safari1. Mais comme toujours avec cette entreprise maléfique, il y a un loup : durant la navigation dans ce navigateur « custom », les applications Instagram et Facebook sont en mesure d'injecter un code JavaScript pour suivre l'utilisateur.

Ce bout de code est connu, il s'appelle Meta Pixel et le portail développeurs de Meta lui consacre même une page décrivant son fonctionnement. Meta Pixel « permet de suivre l'activité du visiteur sur votre site web » : « clic » sur une publicité, un bouton, un lien, sélection et saisie d'un texte (y compris l'adresse, le mot de passe d'un compte, le code de carte bancaire…).

Alors attention, ce n'est pas parce que Meta peut le faire que l'entreprise collecte effectivement toutes ces informations et les exploite pour son compte. Felix Krause ne peut pas déterminer les données collectées par Meta : « je voulais montrer le type de données que la société pourrait obtenir sans que vous le sachiez ». De même, si vous n'avez pas autorisé le suivi ATT dans les apps Facebook et Instagram (via la fameuse fenêtre de demande de suivi), Meta n'est pas en mesure de collecter ces informations… exception faite de l'activité en ligne après l'ouverture d'un lien dans une de ces apps.

Pour l'utilisateur qui ne veut pas être suivi par Meta mais qui n'a pas d'autre choix que d'utiliser Instagram ou Facebook, il est toujours possible d'ouvrir l'URL dans le navigateur par défaut (voir les images ci-dessus) ou tout simplement d'utiliser la version web mobile de ces réseaux sociaux (facebook.com ou instagram.com dans Safari). Apple pourrait également serrer la vis d'une manière ou d'une autre.

Le mode Isolement, une des nouveautés d'iOS 16, aurait pu être une solution mais elle n'a pas été conçue pour ça, a répondu Apple lorsque Felix a posté un radar sur le sujet.

Mise à jour 20h — Meta s'érige en faux face au rapport de Felix Krause. Un porte-parole du groupe explique que « ces affirmations sont fausses et dénaturent le fonctionnement du navigateur intégré de Meta et Meta Pixel. Ce code a été développé précisément pour honorer les choix des utilisateurs en matière de transparence du suivi des applications (ATT) sur nos plateformes ».

Les équipes de Meta sont entrées en contact avec Krause pour lui démontrer en quoi ses affirmations seraient fausses. Le chercheur envisage d'ailleurs de mettre à jour sa publication.


  1. Et dire qu'Instagram explique l'absence de version iPad de son application par le manque de ressources 🙄  ↩︎


avatar nova313 | 

Ça m’étonne que ce genre de chose ne pop qu’aujourd’hui. Je veux dire, bien sûr que le custom webview qui est utilisé intègre du tracking a outrance.
Perso, je fais toujours la manœuvre indiqué dans le screenshot, mais il est vrai que ça permet un tracking par défaut dans tout les cas.

avatar AhRiMaN | 

Je pense qu'aujourd'hui les personnes qui utilisent ces applications le font en connaissance de cause , ce qu'ils font n'est plus un secret , perso je ne les plains pas.

avatar vincentn | 

@AhRiMaN

Vous seriez surpris du contraire. Nombre de gens n’en savent rien, ou tout du moins ne connaissent pas réellement les tenants et aboutissants ni toutes les implications.
Tous les usagers des apps de Meta en France — et dans le monde — ne lisent pas la presse tech (ou même généraliste).

avatar pasc75 | 

@vincentn

Exactement. Énormément de personnes se laissent pister à gogo avec l’argument « je n’ai rien à cacher ». Évidemment que problème n’est pas là et cet argument bien à côté de la plaque. Les gens (et moi-même sûrement) n’imaginent pas les implications du pistage.
Il suffit de regarder autour de soi. Je suis même impressionnée de l’absence de prise de conscience des jeunes. Probablement car ils sont nés et ont été formatés sans connaître autre chose.

avatar calotype | 

@pasc75

Je valide, je travaille quelques jours dans le milieu scolaire, des maternelles aux lycée.
Je pensais que les jeunes de maintenant étaient des boss de « l’informatique ».
En discutant un peu avec eux et les profs j’ai appris que pas du tout, déjà la majorité ont surtout débuté sur smartphone/tablettes, du coup pour certain une souris c’est wtf !

Je pensais le contraire quand je lisais des articles sur le fait d’inclure des cours de programmations à l’école etc que c’était cohérent et qu’ils étaient probablement encore plus à même de connaître les rouages et mécanismes. Erreur.
Ça n’a pas changé ceux qui savent ce sont certains geeks et nerds.

Et à l’inverse pour certain d’entre vous, vous n’avez pas idée du volume monstrueux de données audio/vidéo -à très faible valeur ajoutée - qu’ils sont capables de produire et d’envoyer sur les réseaux.
Ils vivent derrière leur téléphone filment tout, tous en même temps, les mêmes choses de manière assez boulimique.

avatar EricBM1 | 

@AhRiMaN

Non, tout le monde n’est pas geek ou à la pointe de la tech, bien au contraire, et la grande majorité des gens ne le font pas en connaissance de cause

avatar AhRiMaN | 

@EricBM1

C’est quand même passé dans le « grand public «  aujourd’hui que Facebook pompe toutes les données possibles….

avatar roccoyop | 

@AhRiMaN

Les gamins sont sur tiktok et Insta maintenant. FB c’est pour les vieux.

avatar jeantro | 

@roccoyop

Oui et les vieux n’en ont rien à foutre d’être suivi, c’est la psychose des jeunes 😃

avatar Eyquem | 

@jeantro

C’est exactement ça. Quand je dis ça à ceux qui utilisent FB, ils me répondent tous qu’ils n’ont rien à cacher et qu’ils n’en ont vraiment rien à faire de tout ça. Cette confidentialité des données n’est importante qu’aux yeux de ceux qui s’y connaissent un minimum, souvent les moins vieux…

avatar jeantro | 

@Eyquem

Les jeunes ont peur de tout de nos jours, ils se sentent important dans leurs faits et gestes, ils voient des espions partout 😂 le plus comique dans tout ça c’est qu’ils y croient et pour eux le fait d’acheter un produit Apple ils sont à l’abri de tout 😂
Relaxe les jeunes arrêtez de vous prendre la tête on s’en fou royalement de votre vie comprenez bien ça profitez à fond car cette période passe très vite

avatar AKZ | 

Et Google, c’est pareil !
La génération Google vit dans l’insouciance et se fait espionner 24h sur 24.
Et sur iOS on est très loin d’être protégé par Apple : par exemple quand je me connecte sur un service de Google dans une de leurs applications, toutes les autres applications de Google sont automatiquement connectées sur mon compte !
Si je lance analytics, je suis obligé de me connecter pour accéder aux données. Si j’utilise ensuite une autre application comme Google maps, celle-ci est automatiquement connectée sur mon compte...
J’aimerais qu’Apple face quelque chose pour séparer réellement les accès des applications d’un même développeur.

avatar 0MiguelAnge0 | 

‘Pour l'utilisateur qui ne veut pas être suivi par Meta mais qui n'a pas d'autre choix que d'utiliser Instagram ou Facebook’

Ne pas avoir le choix… On va pleurer pour eux également?

avatar lion.mar | 

@0MiguelAnge0

Il y a des gens qui doivent travailler avec et il m’ont effectivement pas le choix.

avatar Derw | 

@lion.mar

S’ils travaillent avec, alors ils l’utilisent sur un tél pro, avec un compte pro, et Meta ne connaît rien de perso… Enfin, en théorie…

avatar maxichoucroutte | 

@Derw

Tant d'affirmations, j'aimerais connaître le vrai ratio de ceux qui utilisent Facebook sur un téléphone pro et de ceux qui doivent utiliser leurs comptes perso...
Pour alimenter une page facebook (entreprise), il faut un compte (nom/prénom). Bien souvent, les entreprises ne s'embêtent pas et ajoutent le profil personnel de la personne qui devra gérer cette page. Donc on se retrouve avec une page pro et un compte privé qui finissent liés.

avatar Derw | 

@maxichoucroutte

« Tant d'affirmations,… »

Mon « Enfin, en théorie » était là pour pour amoindrir la certitude.

« Pour alimenter une page facebook (entreprise), il faut un compte (nom/prénom). Bien souvent, les entreprises ne s'embêtent pas et ajoutent le profil personnel de la personne qui devra gérer cette page. »

Si c’est effectivement le cas, c’est une grave erreur. Pour l’employé, bien sûr, mais aussi pour l’entreprise qui fait ainsi dépendre l’image de la société à celle d’un individu… Si cet employé poste quelque chose de néfaste pour la société sur son compte perso (après tout, c’est un compte perso…) et que cela lui crée du tord, ce sera de sa faute…

« Donc on se retrouve avec une page pro et un compte privé qui finissent liés. »

J’ai eu une page pro et donc un compte privé lié (puisque, comme vous le dîtes, Meta ne laisse pas le choix), mais ce compte privé était mort (aucune activité). Ma belle-sœur, il y a quelques années, a fait comme vous l’indiquez et elle a eu plein de problèmes. Du coup, elle a tout fermé et recrée des comptes séparés…

avatar ohmydog | 

@0MiguelAnge0

Je me suis dit la même chose. Qui n’a pas le choix d’utiliser facebook ? Franchement ….

avatar Dv@be | 

@ohmydog

Moi par exemple. Je déteste Facebook et pourtour pour l’activité de la société de Raid Aventures en 4x4, GreenTracers, je suis forcé d’avoir l’app installée pour pouvoir réagir (notifications) rapidement aux demandes via FB, insta et autres.

Donc oui je n’ai pas le choix.

avatar vincentn | 

@ohmydog

Les traqueurs de Meta étant présents sur une majorité de sites web et d’apps, même si vous n’avez pas proprement dit ces apps d’installées voire même de comptes, vous êtes quand même traqué et vos données/profil, certes moins précis qu’un inscrit sont quand même exploités.

avatar Lu Canneberges | 

@ohmydog

> « Je me suis dit la même chose. Qui n’a pas le choix d’utiliser facebook ? Franchement …. »

Les personnes qui l’utilisent de manière professionnelle…

Quand tu es une entreprise, pro artisan ou libéral, ou même une association, si une partie importante des personnes que tu dois atteindre ne sont que sur Facebook ou Instagram, ben tu as peu d’autres choix que d’y être. Même si ce n’est pas toi personnellement qui y es, tu dois te connecter professionnellement.

De même, et ça c’est très vicieux, quand le seul point d’accès aux informations sur ton quartier ou pire, sur les cours au collège/lycée/université. Si tu n’es pas sur Facebook tu risques alors de manquer plein d’infos ou documents essentiels, comme les devoirs, si tu as été absent, si un cours est annulé, et surtout la collaboration ou les actions en groupe ou encore pouvoir poser des questions aux camarades.

Bref, il y a des tas de situation où, à cause de la concentration de personnes à joindre, de l’inertie ou paresse des pairs scolaires ou locaux, ou limites des alternatives… on peut ne pas avoir le choix de s’y connecter, malheureusement.

Le monde n’est pas binaire.

Et ça n’empêche pas de considérer que Meta est une plaie horrible qui suce le sang, est nuisible à la société et qu’on doit s’en débarrasser à terme et le plus vite possible ! (Sérieusement)

(Je dis ça en n’y ayant fait aucune publication perso publique depuis plusieurs années, mais je n’ai parfois pas le choix pour mon université ou mon association.)

Voilà, j’espère que ça vous donne une idée plus nuancée.

avatar Lu Canneberges | 

@0MiguelAnge0

> « ‘Pour l'utilisateur qui ne veut pas être suivi par Meta mais qui n'a pas d'autre choix que d'utiliser Instagram ou Facebook’
Ne pas avoir le choix… On va pleurer pour eux également? »

Personne ne te demande de pleurer, mais peut-être de comprendre que malheureusement cette situation est possible, cf commentaire ci-dessus.

Il y a une différence entre faire du shitposting, conspirationnisme, harcèlement ou photos d’animaux d’une part, et d’en avoir besoin dans un contexte professionnel, associatif, local ou scolaire d’autre part.

Et ça n’empêche de condamner, comprendre et détester Meta, et de vouloir s’en débarrasser le plus vite possible collectivement.

Mais l’inertie ou les lacunes des alternatives font que c’est très difficile, essayez de sortir vos proches ne serait-ce que de WhatsApp et vous verrez… (j’en ai déplacé beaucoup, mais trop peu, et professionnellement c’est très difficile)

avatar marc_os | 

@ 0MiguelAnge0

Dans le monde de la culture il y a aussi beaucoup d'annonces qui sont faites essentiellement sur Facebook. Et parfois, il faut avoir un compte rien que pour avoir des dates de spectacles, concerts, etc. Et je suis persuadé que les artistes concernés ne le savent même pas. (Moi ça me handicape en quelque sorte, car je n'ai pas de compte FB. Et je vais probablement finir pour en ouvrir un pour cette seule et unique raison.)

avatar fredsoo | 

C’est pas possible !!!

avatar Bruno de Malaisie | 

Ça c’est une belle surprise!!!

avatar Seb42 | 

Je ne vois rien de surprenant, ils ont toujours fait ça. Ils continuent d’une manière ou d’une autre. Mais ce n’est sûrement pas les seuls.

avatar Eyquem | 

C’est étonnant ! Ça alors, wow ! 😅

avatar bubu16 | 

L’une des solutions — que j’utilise également pour Twitter — est d’utiliser la web app dans Safari.
Plus de navigateurs tiers, et les bloqueurs comme 1Bocker fonctionnent alors !

avatar Bruno de Malaisie | 

@bubu16

Pareil avec YouTube.
Safari et Vinegar.

https://apps.apple.com/fr/app/vinegar-tube-cleaner/id1591303229?l=en

Plus de pub. Parfait. Sur iOS, iPadOS et macOS.

avatar Anarkyst | 

@bubu16

Sinon une app crackée/modifiée par quelqu’un de confiance ça marche aussi !
J’ai fait ça longtemps mais depuis que j’ai changé d’iPhone j’ai perdu l’application en question

avatar JohnWalker | 

Vous êtes formidables !

avatar vincentn | 

Surprise … non.
C’est limite consubstantiel de Meta. Seul un départ de l’opérationnel de Zuckerberg et de sa garde rapprochée pourrait, à long terme, faire évoluer les choses. Et encore.

« Alors attention, ce n'est pas parce que Meta peut le faire que l'entreprise collecte effectivement toutes ces informations et les exploite pour son compte »

On parle de Meta là, qui a donc mis des ressources pour développer ce genre de subterfuge. Sans faire de procès d’intention, il l’utilise. Au pire, Z fera un nouvel acte de contrition, s’excusant que c’était une erreur et qu’ils ne recommenceront plus.

Ce qui est rassurant, c’est que la part des ados américains utilisant les services de Meta est passé de plus de 70 % à moins de 30 % en l’espace de quelques années seulement. Bon, cela ne règle pas le souci de la présence cachée des services de Meta sur les sites web ou les apps et du fait que ces ados US sont partis vers un service qui fait pire que Meta dans ce domaine, à savoir Tik Tok.

avatar lldjandoll | 

😂 j’aurais aimer voir le même sujet d’article mais : « les applications et site internet du gouvernement vous suivent à la trace » 😂 l’ouragan dans les commentaires. Quand on voit la réaction de certain sur la « pop up » dans les applications gps 😁

avatar ohmydog | 

@lldjandoll

Rien compris à votre message

avatar kasimodem | 

FB et sa fameuse tribu des "jérienacaché" 😂

avatar arkhazim | 

Ha enfin un article sur cette chose qui m’embête depuis 4 ans, toujours à 2 clics pour ouvrir un lien grrr…

Apple, à quand une règle de l’app store, imposant un réglage général offrant le choix à l’utilisateur de forcer une app à ouvrir les liens dans les apps par défaut choisi par l’utilisateur dans iOS ? Et tant qu’on y est, pareil pour le menu de partage natif d’iOS, Google me saoule avec ces boutons moche gros, et avec moins d’options dans ces apps….

avatar Minileul | 

Je n’ai jamais réussi à ouvrir un lien depuis Facebook ca me met qu’il n’y a pas de connexion avec le wifi et une croix rouge ❌…

avatar pagaupa | 

Non! Incroyable ! C’est donc vrai! 😂

avatar QuentinRth | 

Quel scoop! 😂

avatar marc_os | 

@ QuentinRth

> Quel scoop! 😂

Quel geek ! Balèze le mec. 🤮

avatar EddyI | 

La mise à jour de 20h qui contredit un peu l’info initiale 😅

Ceci dit, ces webcview sont tellement nulles.. qu’on passe forcément au vrai navigateur. C’est juste ch*** de devoir passer par là et cela n’apporte rien à l’utilisateur en terme d’expérience.

CONNEXION UTILISATEUR