La Controverse autour des Pratiques de Suivi de Meta et Yandex

Récemment, des chercheurs en sécurité ont révélé que  Meta  et  Yandex  utilisaient des applications Android natives pour écouter sur des ports localhost. Cette méthode leur permettrait de lier les données de navigation web aux identités des utilisateurs tout en contournant les protections de confidentialité classiques. Ces révélations ont soulevé des préoccupations majeures quant à la protection des données personnelles des utilisateurs et la transparence des pratiques publicitaires sur les plateformes numériques.

Les Répercussions Immédiates sur Meta

À la suite de cette divulgation, il a été observé que le script Pixel de Meta a cessé d’envoyer des données vers localhost, et que le code de suivi a été largement supprimé. Cette démarche pourrait aider Meta à éviter des contrôles supplémentaires au regard des politiques de Google Play, qui interdisent la collecte de données de manière discrète dans les applications. Un porte-parole de Meta a déclaré : “Nous sommes en discussions avec Google pour résoudre une potential malentendu concernant l’application de leurs politiques.” Cela montre que l’entreprise prend ces préoccupations au sérieux, même si des questions demeurent quant à son engagement à respecter la vie privée des utilisateurs.

La Méthodologie Utilisée par les Chercheurs

Une étude publiée par des scientifiques de l’IMDEA Networks (Espagne), de l’Université Radboud (Pays-Bas) et de KU Leuven (Belgique) décrit en détail comment Meta et Yandex ont exploité des applications Android natives pour récupérer les données de cookies web via l’interface de boucle locale, communément appelée localhost. Cette technique implique que les applications écoutent silencieusement des ports locaux fixes pour des raisons de suivi.

Les chercheurs expliquent que “ces applications Android natives reçoivent des métadonnées de navigateurs, des cookies et des commandes des scripts Meta Pixel et Yandex Metrica intégrés sur des milliers de sites web.” En accédant à des identifiants d’appareil comme l’ ID publicitaire Android , les entreprises peuvent relier les sessions de navigation mobile et les cookies web aux identités des utilisateurs.

Un Contournement Sophistiqué des Protections de Confidentialité

En ouvrant des ports localhost qui leur permettent de recevoir des données de suivi, comme des cookies et des métadonnées de navigateur, Meta et Yandex réussissent à contourner des protections courantes de confidentialité, telles que l’effacement des cookies et le mode Incognito. Cette approche remet en question les hypothèses sur la portée des cookies de première partie, qui ne devraient normalement pas pouvoir suivre l’activité de navigation entre différents sites.

Les chercheurs affirment que “la méthode que nous divulguons permet de lier les différents cookies _fbp au même utilisateur, contournant ainsi les protections existantes et allant à l’encontre des attentes des utilisateurs.”

Le Fonctionnement du Suivi selon Meta

Le processus de suivi de Meta implique des scripts associés au Meta Pixel, un code d’analyse utilisé par les marketeurs pour collecter des données sur les interactions avec les sites web. Les chercheurs détaillent un fonctionnement en plusieurs étapes :

  1. L’utilisateur ouvre l’application native de Facebook ou Instagram, qui va créer un service en arrière-plan écoutant sur un port TCP fixe.
  2. Ensuite, l’utilisateur ouvre son navigateur et visite un site web intégrant le Meta Pixel.
  3. Le script du Meta Pixel envoie le cookie _fbp à l’application native via WebRTC.
  4. Enfin, les applications transmettent ce cookie à Facebook, reliant les visites web aux comptes utilisateurs.

Impact de la Découverte sur le Récupération des Données

Les chercheurs ont observé que cette technique a été mise en action par Meta à partir de septembre 2024, mais qu’elle a cessé d’envoyer des paquets vers localhost après le 3 juin 2025. Il semble que Meta ait pris des mesures pour se conformer aux exigences de Google, mais des interrogations demeurent, notamment en ce qui concerne la pérennité de ces ajustements.

Parallèlement, Yandex serait impliqué dans des pratiques similaires depuis 2017. Bien que la société n’ait pas répondu aux demandes de commentaires, les chercheurs ont noté que leur divulgation a conduit à plusieurs mesures d’atténuation, notamment des mises à jour des navigateurs pour bloquer les techniques de suivi problématiques.

Vers une Réglementation Plus Stricte ?

Les auteurs de l’étude suggèrent la nécessité de créer de nouvelles permissions pour l’accès au réseau local afin de mieux atténuer le suivi basé sur localhost. Une telle initiative pourrait aider à protéger davantage les données personnelles des utilisateurs à l’avenir et renforcer la confiance dans les plateformes numériques.

Ces révélations mettent en lumière non seulement les pratiques contestables des grandes entreprises technologiques mais soulèvent également des questions sur l’efficacité actuelle des régulations en matière de protection de la vie privée des utilisateurs. Dans un monde où la collecte de données est omniprésente, il devient crucial d’exiger plus de transparence et d’éthique dans les méthodes de suivi des utilisateurs.



Technologie