Clé à emporter
- Un chercheur en sécurité a démontré que les applications Facebook et Instagram sur iOS insèrent un code personnalisé lors de l'ouverture de liens dans leurs navigateurs intégrés.
- Le code contourne les protections de confidentialité d'Apple et peut également être utilisé pour vous suivre sur des sites Web tiers.
- D'autres experts en sécurité suggèrent d'éviter l'utilisation de navigateurs intégrés à l'application et s'attendent à ce qu'Apple prenne des mesures pour annuler cette solution de contournement.
De nouvelles recherches ont montré que la plupart des applications n'utilisent pas le navigateur Web par défaut du smartphone pour ouvrir des liens, ce qui pourrait potentiellement contourner les fonctionnalités de sécurité et de confidentialité du système d'exploitation.
Un chercheur en sécurité, Felix Krause, a montré que les applications Instagram et Facebook de Meta sur iOS ajoutent du code JavaScript aux sites Web tiers lorsque vous les visitez à l'aide du navigateur personnalisé intégré à l'application. Les navigateurs intégrés aux applications permettent aux utilisateurs de visiter des sites Web sans quitter leurs applications. Le code inséré permet aux applications de suivre potentiellement toutes vos interactions avec des sites Web externes, en contournant la fonction App Tracking Transparency (ATT) d'iOS. Apple a ajouté ATT spécifiquement pour forcer les développeurs d'applications à obtenir le consentement des utilisateurs avant de suivre les données générées par des tiers.
"La solution de contournement d'Instagram n'est pas surprenante", a déclaré Lior Yaari, PDG et co-fondateur de la startup de cybersécurité Grip Security, à Lifewire par e-mail. "Les restrictions d'Apple menacent le cœur du modèle commercial de l'entreprise, il s'agissait donc de s'adapter [pour] survivre."
Frapper là où ça fait mal
Meta a ouvertement admis que la fonctionnalité ATT lui coûtait environ 10 milliards de dollars par an en revenus publicitaires.
Au cours de ses recherches, Krause a découvert que lorsqu'un utilisateur iOS des applications Facebook et Instagram clique sur un lien au sein de ces réseaux sociaux, ils sont ouverts dans le navigateur intégré à l'application.
Au minimum, les utilisateurs ne doivent pas utiliser les navigateurs intégrés à l'application pour saisir des informations sensibles ou confidentielles.
Il a averti que le code JavaScript personnalisé que le navigateur intégré à l'application injecte permet aux deux applications de suivre potentiellement chaque interaction avec des sites Web externes, y compris tout ce que vous saisissez dans une zone de texte, comme les mots de passe et les adresses.
"Avec 1 milliard d'utilisateurs actifs d'Instagram, la quantité de données qu'Instagram peut collecter en injectant le code de suivi dans chaque site Web tiers ouvert à partir de l'application Instagram et Facebook est une quantité stupéfiante", a écrit Krause.
La découverte ne surprend pas George Gerchow, directeur de la sécurité et vice-président senior de l'informatique chez Sumo Logic.
S'adressant à Lifewire par e-mail, Gerchow a déclaré que les réseaux de médias sociaux possèdent certains des algorithmes d'intelligence artificielle et d'apprentissage automatique les plus puissants au monde, qui, combinés à leur tentative constante d'inciter les gens à rester sur leurs plateformes, deviennent un vrai péril.
"Je crois fermement qu'Apple était au courant mais ne voulait pas de publicité", a déclaré Gerchow, ajoutant: "[Apple] Safari n'est pas non plus le navigateur le plus sûr."
Que les jeux commencent
Bien que Krause n'ait pas pu examiner le code pour déterminer sa véritable intention, il a démontré comment les applications pouvaient contourner les restrictions ATT. Yaari pense que cela devrait inciter Apple à se lever, à en tenir compte et peut-être même à mettre en place des restrictions supplémentaires pour limiter le suivi via les navigateurs intégrés à l'application.
"C'est le début du jeu du chat et de la souris auquel les deux sociétés vont se livrer, et le résultat aura des ramifications majeures dans l'industrie", a déclaré Yaari.
Tom Garrubba, directeur des services de gestion des risques tiers chez Echelon Risk + Cyber, estime qu'Apple semble avoir considérablement amélioré son image en matière de respect de la vie privée, non seulement en termes de perception, mais aussi d'action via son codage et son déploiement.
"Peut-être qu'il faudra un recours collectif, de mauvaises relations publiques et/ou une lourde amende pour violation de la vie privée pour que les développeurs d'applications prennent conscience [du fait] qu'ils ont besoin de "confidentialité dès la conception" dans tous les aspects du développement de code et de la prestation de services », a déclaré Garrubba à Lifewire par e-mail. "Je prédis que l'inaction des grandes technologies conduira à un procès ou à une lourde peine qui attend."
En attendant, pour protéger votre vie privée, Krause suggère de quitter le navigateur intégré à l'application et de simplement copier-coller l'URL pour l'ouvrir dans un autre navigateur externe.
"Au minimum, les gens ne devraient pas utiliser les navigateurs intégrés à l'application pour saisir des informations sensibles ou confidentielles", suggère Yaari.
Cependant, nos experts reconnaissent qu'il est peu probable que de nombreuses personnes modifient réellement leur comportement, car cela pourrait rendre l'expérience utilisateur plus gênante.
"Malheureusement, étant donné que 99,9 % des humains souffrent du besoin de "gratification instantanée", ils ignorent cette étape et l'ouvrent directement dans leur navigateur par défaut", a déclaré Garrubba. "C'est clairement ce que veulent les grandes technologies, et elles obtiendront très probablement les données qu'elles veulent."
