Solution de contournement de la transparence du suivi des applications - Action collective Meta

Solution de contournement de la transparence du suivi des applications – Action collective Meta

parFlorian publié le

Meta fait face à un recours collectif après que Facebook et Instagram ont découvert qu’ils utilisaient une solution de contournement App Tracking Transparency pour suivre les utilisateurs sur le Web, même après qu’on leur ait refusé l’autorisation de le faire.

La société est accusée non seulement d’avoir enfreint les règles de confidentialité d’Apple, mais également d’avoir violé les lois étatiques et fédérales…

Arrière plan

App Tracking fonctionne par Apple en attribuant un identifiant unique à votre appareil. Il ne révèle aucun détail sur vous, mais leur permet de voir (par exemple) que l’utilisateur iOS 30255BCE-4CDA-4F62-91DC-4758FDFF8512 a visité des sites Web de gadgets et serait donc une bonne cible pour les publicités de gadgets.

Cela leur permet également de voir que l’utilisateur iOS 30255BCE-4CDA-4F62-91DC-4758FDFF8512 a vu une publicité pour un produit particulier sur un site Web particulier, puis s’est ensuite rendu sur le site d’un détaillant particulier pour l’acheter – donc cette publicité était (probablement) couronné de succès.

Avec App Tracking Transparency, les développeurs d’applications doivent vous demander si vous souhaitez autoriser ce suivi. Si vous dites non (comme le font la plupart des gens), les applications ne sont pas autorisées à utiliser ce système.

Facebook et Instagram ont chacun leurs propres navigateurs Web intégrés, qui sont utilisés chaque fois qu’un utilisateur appuie sur un lien dans l’une ou l’autre des applications. Cela signifie que Meta peut suivre l’activité dans ces navigateurs.

Le risque théorique de cela était déjà bien compris, mais le chercheur en sécurité Felix Krause a trouvé le mois dernier des preuves concrètes que Meta le faisait réellement.

Il a constaté que les deux applications injectaient leur code de suivi dans chaque site Web affiché, y compris en cliquant sur des publicités. Dans le cas le plus extrême, cela permettrait à Meta de surveiller toutes les interactions des utilisateurs, comme chaque bouton et lien tapé, les sélections de texte, les captures d’écran, ainsi que toutes les entrées de formulaire, comme les mots de passe, les adresses et les numéros de carte de crédit.

Krause ne suggère pas que Meta aille aussi loin, bien sûr. Ses recherches ne lui ont pas permis de voir quelles données l’entreprise extrayait, mais il a pu confirmer qu’elles extrayaient quelque chose.

Je n’ai pas de liste de données précises qu’Instagram envoie à la maison. J’ai la preuve que les applications Instagram et Facebook exécutent activement des commandes JavaScript pour injecter un SDK JS supplémentaire sans le consentement de l’utilisateur, ainsi que pour suivre les sélections de texte de l’utilisateur. Si Instagram le fait déjà, ils pourraient également injecter n’importe quel autre code JS.

Action collective

Bloomberg rapporte que deux utilisateurs ont maintenant poursuivi Meta dans le cadre d’un recours collectif proposé.

Meta Platforms Inc. a été poursuivi pour avoir prétendument construit une solution de contournement secrète aux garanties qu’Apple Inc. a lancées l’année dernière pour empêcher les utilisateurs d’iPhone de suivre leur activité sur Internet.

Dans une proposition de plainte en recours collectif déposée mercredi devant le tribunal fédéral de San Francisco, deux utilisateurs de Facebook ont ​​accusé l’entreprise d’avoir contourné les règles de confidentialité d’Apple en 2021 et d’avoir violé les lois étatiques et fédérales limitant la collecte non autorisée de données personnelles. Une plainte similaire a été déposée devant le même tribunal la semaine dernière […]

En réponse au rapport, Meta a reconnu que l’application Facebook surveille l’activité du navigateur, mais a nié qu’elle collectait illégalement des données d’utilisateurs.

Un recours collectif est lorsque d’autres personnes concernées sont invitées à se joindre à l’action contre le défendeur. Généralement, cela ne signifie rien de plus que de remplir un formulaire en ligne si l’affaire aboutit et une indemnisation est accordée (qui n’est généralement que de quelques dollars par personne). Un juge doit approuver la conversion de la poursuite en recours collectif.

Photo : Glen Carrie/Unsplash