Voilà une nouvelle affaire qui va mettre à mal les postures vertueuses que Facebook affiche à la face du monde, après les nombreux scandales, dont celui de Cambridge Analytica, qui touchent le réseau social. Cette fois, Facebook est pris en plein espionnage d’adolescents et de jeunes adultes – entre 13 et 35 ans – qu’il a convaincus d’installer un VPN (réseau privé virtuel) par lequel tout le trafic et les usages étaient rapportés à Facebook, dont l’objectif est de connaître avec le plus de précision les usages des différents services de communication – messagerie, réseaux sociaux… – pour mieux contrer ses concurrents. Et pour parvenir à ses fins, on peut dire que Facebook a laissé tomber le masque, se révélant tenir plus du bandit de grand chemin que de l’acteur responsable de l’univers numérique qu’il aimerait paraitre. Car outre un paiement mensuel versé aux « participants » à « l’étude sur l’usage média », Facebook n’a pas hésité à contourner les règles de l’App Store iOS pour installer son logiciel espion. Explications.

Onavo, le VPN qui ne vous veut pas de bien

En 2014, Facebook achète Onavo, une entreprise israélienne, et son logiciel de VPN, pour 120 millions de dollars. Celui-ci est présenté comme une aide précieuse et gratuite pour sécuriser les échanges internet sur smartphone et réduire les factures données. Évidemment, le VPN renseigne également Facebook sur les habitudes et usages des utilisateurs. C’est grâce à lui, estime TechCrunch, qui révèle l’affaire, que Facebook a pu observer la montée en puissance de WhatsApp, qu’il va racheter pour 19 milliards de dollars en 2014. Car Onavo, depuis son lancement en 2010, gère déjà un business d’analyse des performances et usages des apps ; il possède déjà une jolie base de données concernant les habitudes des utilisateurs. Facebook continue et amplifie ce travail après le rachat du VPN, qui lui permet de savoir quelle fonction copier en priorité, quel concurrent racheter etc…

Apple, empêcheur d’espionner peinard

Tout ceci serait parfait dans le meilleur des mondes Orwelliens si en mars dernier des chercheurs en sécurité ne mettaient pas en évidence les capacités étonnantes du VPN de Facebook : celui-ci continue à transmettre ses données à Facebook même s’il est éteint, et même si l’écran du smartphone est éteint. Il rapporte, avec une régularité de métronome, tout le trafic cellulaire et Wi-fi de l’iPhone sur lequel il est installé. En juin, Apple réagit et modifie ses règles d’utilisation de l’App Store, pour contraindre les apps à ne pas collecter plus de données de trafic que nécessaire à leur bon fonctionnement. Dûment prévenu, Facebook retire Onavo MProtect de l’App Store

Mis à la porte, il revient par la fenêtre

C’est à partir de là que les choses virent vers le film de gangsters : Facebook a l’idée, pour contourner cette interdiction gênante, de… contourner l’App Store. C’est tout simple : il suffit de proposer l’App comme une app expérimentale, via un service de distribution de versions bêta. Pas Testflight, celui qu’Apple gère et où l’approbation des équipes de l’App Store est nécessaire, mais trois autres fournisseurs de services, BetaBound, uTest et Applause. Pour recruter des participants volontaires, ceux-ci font miroiter des paiements mensuels, de 13 à 20 $ environ, ainsi que des bonus selon le trafic. Le programme de Facebook porte un nom, « Atlas », et il succède à un programme antérieur nommé « Kodiak ». Ça fait un moment que Facebook apprécie les VPN en somme.

Pour participer à l’étude, il faut installer un certificat root sur l’iPhone concerné, qui permet de faire tourner l’App sans l’approbation d’Apple, via le système des apps d’entreprise, qui sont validées par un certificat de celle-ci. Une fois installée, l’app accède à toutes les données réseau de l’iPhone. « Si Facebook utilise pleinement le niveau d’accès qui lui est donné avec ce certificat, ils auront la possibilité de collecter en continu les types de données suivants: messages privés dans des applications de médias sociaux, discussions en ligne dans des applications de messagerie instantanée, y compris photos / vidéos envoyées à des tiers, courriers électroniques, recherches sur le Web, activité de navigation sur le Web et même informations sur l’emplacement en cours en exploitant les flux de toutes les applications de suivi de l’emplacement que vous avez éventuellement installées », précise l’expert en sécurité Will Strafach de Guardian Mobile.

Sympa.

Facebook n’a pas nié ces agissements, même si elle a tenté de ne pas apparaître dans l’affaire, se masquant derrière les services de bêta-test. « Comme beaucoup d’entreprises, nous invitons les gens à participer à des recherches qui nous aident à identifier les choses que nous pouvons améliorer. Comme cette recherche vise à aider Facebook à comprendre comment les gens utilisent leurs appareils mobiles, nous avons diffusé de nombreuses informations sur le type de données que nous collectons et comment les utilisateurs peuvent participer. Nous ne partageons pas ces informations avec d’autres et les gens peuvent arrêter de participer à tout moment », a précisé un porte-parle du réseau social.

Apple n’a pour l’heure pas réagi à cette affaire, qui pourrait bien ne pas arranger les relations parfois orageuses qu’elle entretient avec Facebook. Le réseau social, de son côté, prouve une fois encore qu’il est prêt à tout pour maintenir sa position et asseoir son business basé sur l’espionnage à grande échelle à des fins publicitaires, directes ou détournées. Au moment d’écrire ces lignes, le programme Atlas est toujours en activité.

AUCUN COMMENTAIRE

À vous la parole !

Fermer
*
*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.