Pour vous pister sur iPhone, Facebook est accusé de contourner les protections d'Apple
Au cœur de l'été 2022, une nouvelle polémique est en train d'éclater avec Facebook.
Une controverse que Facebook rejette. « Ces affirmations sont fausses », a pointé un porte-parole du groupe à la presse, ce 11 août. L'informaticien a, selon le réseau social, mal compris le fonctionnement de certains composants utilisés par le site, dont son navigateur intégré aux applications ainsi que le « Meta Pixel », un code qui est mis à disposition des sites et qui permet au passage à l'entreprise d'obtenir des données.
Tout part d'une analyse technique publiée le 10 août par le développeur Felix Krause et qui a jeté un pavé dans la mare. Ses observations l'ont amené à affirmer que les applications de Facebook et d'Instagram sont capables de suivre tout ce que l'internaute fait sur n'importe quel site web -- ce qui ne veut pas dire que le site communautaire peut tout lire.
Ainsi, Felix Krause a écarté d'emblée certains risques qui pourraient se poser : non, la tactique qui est mise en accusation ne met pas en péril des données sensibles, comme les mots de passe, les mails ou les numéros de cartes de crédit. Non, Facebook ne peut pas tout voir : mais il peut toutefois savoir ce que vous faites, si vous ouvrez un lien ou cliquez sur une publicité.
Un navigateur web inséré dans les applis
Comment le réseau social procéderait-il ? En mettant à contribution ses applications mobiles, disponibles sur Android et iOS. L'affaire concerne ici surtout iOS : Felix Krause explique que l'entreprise dirigée par Mark Zuckerberg a adapté au fil du temps ses applis, comme Instagram et Messenger, mais également Facebook, pour intégrer un navigateur web interne.
Vous l'avez peut-être d'ailleurs observé vous-même : si vous ouvrez un lien avec Instagram et Messenger, ce n'est pas une autre application de navigation qui s'ouvre (que ce soit Google Chrome, Apple Safari, Mozilla Firefox ou bien autre chose). Vous restez dans l'application initiale et celle-ci se met à générer et interpréter la page pour vous.
Les applications de Facebook disposent de tout le nécessaire pour afficher des liens, comme un navigateur, pour que les internautes n'aient pas besoin de se rendre sur une autre app. Dès lors, il n'est pas surprenant d'en arriver à la situation en cause : Facebook peut voir tout ce que vous faites en ligne, quand vous utilisez son outil interne pour naviguer sur le web.
Cela, d'autant plus au regard de la réputation aujourd'hui abîmée du réseau social dès qu'il est question de confidentialité et de respect de la vie privée. Mais Meta l'affirme : l'analyse de l'informaticien reste quand même inexacte. « Nous avons intentionnellement développé ce code pour respecter les choix de transparence du suivi des applications sur nos plateformes », déclare le groupe.
Le problème, selon Facebook, est que l'analyse du développeur se trompe sur le fonctionnement du navigateur du Meta Pixel. Contact a été pris avec l'intéressé, ce qu'il admet par ailleurs dans son billet de blog, qui a été mis à jour. Pour Facebook, il n'y a aucun problème : au contraire, ce bout de code a été conçu justement pour tenir compte des choix du public quant au pistage.
L'informaticien a également pointé une injection JavaScript : « L'appli Instagram injecte son code de suivi dans chaque site affiché, y compris lors d'un clic sur une publicité, ce qui lui permet de surveiller toutes les interactions de l'utilisateur ». Facebook pourrait, dit-il, suivre les boutons et les liens, les sélections de texte, les captures d'écran ou même les entrées de formulaire.
« L'injection de code JavaScript supplémentaire dans les sites Web tiers est nécessaire pour vérifier si un Meta Pixel est configuré, considérant que les sites Web avec un Meta Pixel configuré n'auraient pas besoin de code JavaScript supplémentaire à exécuter », écrit-il dans son article mis à jour. Mais ici aussi, Facebook conteste l'observation.
Ces agrégats sont là pour éviter d'avoir affaire à des profils individuels, argue le site américain. C'est dans ce cadre qu'entre le fonctionnement de ce code JavaScript. Ce pistage à un degré « plus large » pour avoir une tendance -- tel pourcentage d'internautes a effectué telle action amenant à tel résultat. Et d'après Facebook, cela ne peut être rattaché à une personne particulière.
Le suivi des internautes s'avère au cœur du modèle économique du réseau social, car plus il connaît les activités, les habitudes et les centres d'intérêt des internautes, plus il peut leur servir une publicité personnalisée, et donc facturer plus cher ses prestations aux annonceurs, parce que le ciblage est de qualité et a plus de chance de déboucher sur un acte d'achat.
Apple est de plus en plus sévère sur les enjeux de vie privée
La trajectoire d'Apple sur ces questions est assez nette depuis quelque temps : en 2020, la firme américaine a, par exemple, décidé de bloquer par défaut les cookies tiers dans son navigateur web Safari. Elle a aussi lancé le projet App Tracking Transparency, qui vise à restreindre significativement le suivi publicitaire, en donnant au public les moyens de le refuser. C'est arrivé avec iOS 14.5.
Le chemin emprunté par Apple inquiète Facebook. On le sait depuis qu'Apple a pris la décision de déployer l'App Tracking Transparency. Et cette inquiétude est si vive que le réseau social a cherché à rallier des PME et des médias à sa cause et a même pu évoquer un moment l'idée d'une bascule du service sur un modèle payant, pour compenser son manque à gagner.
Selon Facebook, l'approche d'Apple en matière de consentement au niveau du suivi des internautes lui coûterait 10 milliards de dollars par an. Dans ces conditions, on comprend pourquoi le site cherche une tactique pour contourner volontairement le système de permission de l'App Tracking Transparency, qui a justement été conçu pour empêcher ce pistage.
Cet épisode illustre les forts enjeux et les tensions qui règnent dans l'écosystème d'Apple, qui est moins favorable à certaines pratiques pourtant au centre du modèle économique d'entreprises comme Facebook. Apple, pour sa part, n'a pas réagi pour le moment à l'affaire qui oppose le développeur au réseau social. Ce qui pourrait ne pas durer, si les reproches s'avèrent fondés.
(mise à jour de l'article pour tenir compte des précisions apportées par Facebook et le développeur)