Discussion :

[Stéphane le calme]

Facebook savait que cela serait risqué pour les relations publiques de collecter des logs d'appels,
mais a cédé face à la croissance potentielle du nombre d'utilisateurs

En mars 2018, tandis que Facebook avait du mal à calmer la tempête provoquée par ce que son PDG a désigné par « un abus de confiance entre Aleksandr Kogan, Cambridge Analytica et Facebook », elle devait encore répondre, cette fois, à un abus de confiance entre les utilisateurs et Facebook. En effet, certains utilisateurs pouvaient avoir une raison supplémentaire de ne pas faire confiance au réseau social puisque, cette fois là, ce n'était pas une partie tierce, mais bel et bien Facebook, qui a collecté les données privées de ses utilisateurs Android sans que probablement la plupart s'en aperçoivent.

Il a été découvert que la société a enregistré les métadonnées des appels téléphoniques et SMS des utilisateurs d'Android. Après avoir téléchargé ses archives Facebook, Dylan McKay, un utilisateur du réseau social a été surpris de découvrir que près de deux ans de logs d'appels et SMS de son téléphone Android étaient inclus. D'autres utilisateurs ont confirmé que les informations sur leurs communications ont également été enregistrées. Les données enregistrées pour chaque appel incluent l'heure et la date à laquelle l'appel a été effectué, le type d'appel (entrant, sortant, manqué), le contact impliqué et la durée de l'appel.

Dans un communiqué publié fin mars, Facebook a reconnu les faits, mais a assuré que la faute en incombe aux utilisateurs, puisqu'ils auraient expressément autorisé l'enregistrement de ces données. « Vous avez peut-être vu des rapports récents selon lesquels Facebook a enregistré l'historique des appels et des SMS (texte) des personnes sans leur permission. Ce n'est pas le cas », affirmait la société dans son communiqué, avant d'expliquer que la fonctionnalité est optionnelle.

« La journalisation de l'historique des appels et des textes fait partie d'une fonctionnalité optionnelle pour les utilisateurs de Messenger ou de Facebook Lite sur Android. Elle a été introduite dans Messenger en 2015, et plus tard offerte en option dans Facebook Lite, une version allégée de Facebook pour Android. Les gens doivent expressément accepter d'utiliser cette fonctionnalité. Si, à tout moment, ils ne souhaitent plus utiliser cette fonctionnalité, ils peuvent la désactiver… et tous les historiques d'appels et de textes précédemment partagés via cette application seront supprimés. »

Facebook a précisé également que cette fonctionnalité ne collecte pas le contenu de vos appels ou messages texte. La société a assuré que si vous avez activé cette fonctionnalité, vos informations sont stockées « en toute sécurité » et qu'elle ne vend pas ces informations à des tiers.

Comment la décision a-t-elle été prise en interne ?

Ce sont des courriels internes, publiés par le Parlement britannique, qui viennent éclairer le public à ce sujet. Selon les courriels, les développeurs savaient que les données étaient sensibles, mais ils ont tout de même insisté pour les collecter afin d'étendre la portée de Facebook.

Les courriels montrent que l’équipe de croissance de Facebook cherche à utiliser les données du journal des appels pour améliorer les algorithmes de Facebook et pour localiser de nouveaux contacts grâce à la fonctionnalité « Contacts illimités ». Le chef de projet a notamment reconnu qu'il s'agissait « d'une tâche relativement risquée du point de vue des relations publiques », mais la croissance potentielle du nombre d’utilisateurs semble avoir eu raison de cette inquiétude.

Au départ, comme l’explique le courriel, la fonctionnalité était destinée à être une opt-in : les utilisateurs devaient choisir de l’activer, probablement via une boîte de dialogue contextuelle intégrée à l'application. Mais alors que les développeurs cherchaient des moyens d’inciter plus d’utilisateurs à choisir d’activer cette fonctionnalité, il devint clair que les autorisations de données d’Android pourraient être manipulées pour activer automatiquement ces permissions si la nouvelle fonctionnalité était déployée d’une certaine manière.

Aussi, dans d’autres échanges de courriels, le groupe qui était responsable de développer la fonctionnalité semblait considérer l'écran des autorisations Android comme un point de friction inutile, à éviter si possible. Lorsque les tests ont révélé que les journaux d'appels pouvaient être collectés sans boîte de dialogue d'autorisations, cette option semble avoir été de toute évidence préférée par les développeurs.

« Sur la base de nos tests initiaux », explique un développeur, « il semble que cela nous permettrait de mettre à niveau les utilisateurs sans les soumettre à une boîte de dialogue de permissions Android ».

En mars, après que l’histoire ait éclaté, Facebook a insisté sur le fait qu'elle n'avait collecté aucun journal d'appels sans autorisation et que tous les utilisateurs concernés avaient activé cette fonctionnalité. Cela contredit l'expérience de nombreux utilisateurs de Facebook, qui ont déclaré avoir installé Messenger avec le minimum d'autorisations, tout en ayant vus leurs journaux d’appels collectés.

Contacté pour commenter cela, Facebook a déclaré qu'elle s'en tenait à sa déclaration initiale. « Nous discutons bien sûr des options de conservation, de suppression ou de modification des fonctionnalités que nous proposons », a déclaré un représentant. « Cette fonctionnalité spécifique permet aux utilisateurs de donner à Facebook l’accès à leurs journaux d’appel et de messagerie texte dans Facebook Lite et Messenger sur des appareils Android. Nous utilisons ces informations pour faire des choses comme proposer de meilleures suggestions afin que les gens effectuent des appels avec Messenger et classent leurs listes de contacts dans Messenger et Facebook Lite ».

Source : documents publiés par le Parlement Britannique (au format PDF)

Voir aussi :

Enregistrement des données d'appels et de SMS : Facebook frôle un nouveau scandale, alors que la firme peine à calmer la tempête Cambridge Analytica
L'application Facebook sur Android lit les SMS ? Oui, mais c'est normal explique un porte-parole de la société
Facebook utiliserait les données personnelles des utilisateurs comme monnaie d'échange, pour accorder des privilèges spéciaux à certaines entreprises
Des documents révèlent que Facebook aurait envisagé de facturer l'accès aux données des utilisateurs et de fermer cet accès en cas de non-paiement

[Stéphane le calme]

Le Parlement Britannique diffuse des centaines de pages de documents internes de Facebook,
soulevant des interrogations sur un abus de position dominante

Après avoir lu le contenu directement devant le représentant de Facebook, lors de l'audition à Londres, le 27 novembre, le Parlement britannique a été publié le mercredi 5 décembre, 250 pages de documents internes de Facebook. Ce sont des actes judiciaires, initiés aux États-Unis contre Facebook par une entreprise nommée Six4Three.

Ces 250 pages dévoilent les textes et les graphiques datant de 2012 à 2015, Facebook, dont Mark Zuckerberg, ou échangés avec d'autres partenaires du réseau social.

Ils ont confirmé ou donné des détails sur les pratiques de Facebook à cette époque, ainsi que sur les axes de développement du réseau social.

Le député Damian Collins, président de la commission parlementaire concernée, a mis en exergue plusieurs « problèmes clés » dans une note introductive.

Il a écrit ceci:

• Facebook a autorisé certaines entreprises à conserver un « accès complet » aux données relatives aux amis des utilisateurs, même après avoir annoncé des modifications à sa plateforme en 2014/2015, afin de limiter ce que les développeurs pouvaient voir. « Il n’est pas clair qu’il y ait eu consentement de l’utilisateur, ni comment Facebook a décidé quelles entreprises devaient figurer sur la liste blanche », a déclaré Collins.
• Facebook savait qu'une mise à jour de son application Android lui permettant de collecter des enregistrements d'appels et de textes d'utilisateurs serait controversée. « Pour atténuer les mauvaises relations publiques, Facebook avait prévu de faire en sorte que les utilisateurs sachent qu'il s'agissait là d'une des caractéristiques sous-jacentes », a déclaré Collins.
• Facebook a utilisé les données fournies par la société d'analyse israélienne Onavo pour déterminer quelles autres applications mobiles étaient téléchargées et utilisées par le public. Il a ensuite utilisé ces connaissances pour choisir les applications à acquérir ou à traiter comme une menace.
• il y avait des preuves que le refus de Facebook de partager des données avec certaines applications a eu des conséquences négatives sur l'évolution de ces applications.
• il y avait eu beaucoup de discussions sur la valeur financière de fournir un accès aux données d'amis

Des révélations et des confirmations sur les rapports de force entre Facebook et le marché

Les documents apportent des éclaircissements nouveaux sur le pouvoir de Facebook sur le marché, et certains experts et législateurs accusent déjà la société d’avoir enfreint la loi antitrust en exerçant un contrôle agressif sur sa plateforme.

Dans les documents, nous pouvons voir des sociétés implorant des cadres supérieurs de Facebook après que la société eut modifié sa politique d'accès aux données. « Nous avons été obligés de vous écrire pour vous expliquer l'effet extrêmement préjudiciable de retirer les autorisations d'amis à nos applications très populaires (et rentables) Badoo et Hot or Not », a écrit un représentant de Badoo à un responsable de Facebook. « Les données relatives aux amis que nous recevons des utilisateurs font partie intégrante de notre produit (et constituent en fait une raison clé pour intégrer la vérification Facebook dans nos applications) ».

Facebook a ensuite écrit dans un courrier électronique que la société avait été « inscrite sur une liste blanche » pour l’accès, mais que d’autres n’avaient pas eu la même chance. Lorsque l'application vidéo Vine, appartenant à Twitter, a tenté d'utiliser Facebook pour permettre aux utilisateurs de trouver des amis sur la plateforme, Mark Zuckerberg a personnellement envoyé une réponse concise lorsqu'un responsable a déclaré que Facebook envisageait de désactiver la fonctionnalité Vine. « Oui, allez-y », a-t-il écrit, selon les courriels publiés.

Le cofondateur de Vine, Rus Yusupov, a fait écho aux sentiments de nombreux critiques sur Facebook dans un tweet qu'il a envoyé après la publication des documents. « La concurrence est nulle, pas vrai ? » A-t-il écrit. « Non. Elle permet aux produits de s’améliorer, de devenir disponibles pour plus de gens, à moindre coût. Efforcez-vous de créer de nouvelles choses que les gens veulent et d'influencer d'autres créateurs pour que le cycle se poursuive ».

Selon les critiques de Facebook, ces changements dans les accès à son API pourraient constituer des violations de la loi fédérale anti-monopole. Freedom From Facebook, un groupe qui fait pression pour une action antitrust contre le numéro un des réseaux sociaux, a déclaré que la société était « apparemment en violation des lois antitrust, allant de la vente liée à des accords de données, à la marginalisation et à l'exclusion des concurrents de la plateforme dominante de Facebook, à des conditions illégales l’acquisition de WhatsApp par Facebook ».

La réponse de Facebook

En réponse, Facebook a déclaré que les documents avaient été présentés de «manière très trompeuse » et nécessitaient d’être contextualisées.

« Nous nous tenons aux modifications apportées à la plateforme que nous avons apportées en 2015 pour empêcher une personne de partager les données de ses amis avec les développeurs. Comme toute entreprise, nous avons eu de nombreuses conversations internes sur les différentes manières de construire un modèle commercial durable pour notre plateforme. Mais les faits sont clairs : nous n'avons jamais vendu les données des personnes », a déclaré une porte-parole.

Mark Zuckerberg a également publié une réponse personnelle sur sa page Facebook.

Comme toute organisation, nous avons eu beaucoup de discussions internes et les gens ont soulevé des idées différentes. En fin de compte, nous avons opté pour un modèle dans lequel nous avons continué à fournir gratuitement la plateforme pour développeurs et les développeurs pouvaient choisir d’acheter des annonces s’ils le souhaitaient. Ce modèle a bien fonctionné. D'autres idées que nous avons envisagées, mais que nous avons rejetées incluent la facturation aux développeurs de l'utilisation de notre plateforme, similaire à la façon dont les développeurs paient pour utiliser Amazon AWS ou Google Cloud. Pour être clair, cela diffère de la vente de données de personnes. Nous n'avons jamais vendu les données de quiconque.

Bien sûr, nous ne laissons pas tout le monde se développer sur notre plateforme. J'ai mentionné ci-dessus que nous avons bloqué beaucoup d'applications fragmentaires. Nous n'avons également pas autorisé les développeurs à utiliser notre plateforme pour reproduire nos fonctionnalités ou développer leurs services de manière virale de manière à créer peu de valeur pour les utilisateurs de Facebook. Nous avons restreint un certain nombre de ces applications et, pour d'autres, nous avons demandé aux développeurs de fournir aux utilisateurs un moyen simple de partager leur contenu en dehors de leurs applications et sur Facebook s'ils le souhaitaient.

Nous nous concentrons sur la prévention des applications abusives depuis des années. C’était le principal objectif de ce changement majeur de plateforme à partir de 2014. En fait, c’était le changement nécessaire pour éviter la situation avec Cambridge Analytica. Bien que nous ayons apporté ce changement il y a plusieurs années, si nous l'avions fait seulement un an plus tôt, nous aurions pu éviter complètement cette situation.

Je comprends qu'il y a beaucoup de contrôle sur la façon dont nous gérons nos systèmes. Cela est sain compte tenu du grand nombre de personnes qui utilisent nos services dans le monde entier, et il est normal qu'on nous demande constamment d'expliquer ce que nous faisons. Mais il est également important que la couverture de ce que nous faisons - y compris l'explication de ces documents internes - ne déforme pas nos actions ou nos motivations. C’était un changement important pour protéger notre communauté, et ce changement a accompli son objectif.

Facebook pourrait risquer une action antitrust au même titre que Google

« Les révélations sur les considérations internes de Facebook sur Vine vont probablement déclencher un examen antitrust », a déclaré Dipayan Ghosh, ancien conseiller américain en matière de protection de la vie privée et de politiques publiques de Facebook. « Les actions de la société semblent correspondre à celles d'Android, qui a bloqué les applications concurrentes par des comportements anticoncurrentiels vigoureux - la même chose s'applique ici ».

La Commission européenne a déjà pris des mesures antitrust contre une autre grande entreprise de technologie cet été, en condamnant Google à une amende de plusieurs milliards d’euros pour comportement anticoncurrentiel entourant son produit Android. La Commission a constaté qu'en combinant des fonctionnalités telles que le moteur de recherche de Google, les applications Chrome et le système d'exploitation, la société exploitait illégalement sa part de marché. La Commission pourrait engager une action similaire au nom des allégations relatives à Facebook, mais aucune déclaration ni annonce n’a été faite.

Sources : Facebook, documents du Parlement Britannique (au format PDF), BBC

Voir aussi :

Les meilleurs employeurs de 2019 : Facebook et Google perdent du terrain aux USA, tandis qu'Ubisoft monte en flèche en France, selon Glassdoor
Pour certains, Facebook aurait contribué à renforcer le mouvement des gilets jaunes en France, doit-on craindre une telle influence du réseau ?
Des employés de Facebook se renseignent sur des emplois extérieurs à l'entreprise, et veulent savoir la meilleure façon de partir de la société
Facebook utiliserait les données personnelles des utilisateurs comme monnaie d'échange pour accorder des privilèges spéciaux à certaines entreprises

[marsupial]

Les données utilisateurs sont traitées comme des kilos de patate sans autre considération.

Page 6 du PDF, Mark Zuckerberg

Reading anything, including friends, costs a lot of money. Perhaps on the order of
$0.10/user each year.

Cela remet en cause l'assertion affirmant la non revente des données utilisateurs.

[Stéphane le calme]

Facebook s'est servi d'un VPN qu'il proposait pour évaluer l'utilisation des apps de la concurrence,
et définir sa ligne de rachat d'entreprises

Le Parlement britannique a publié hier un document de 250 pages de courriels internes entre Facebook et d'autres sociétés de haute technologie concernant l'accès aux données des utilisateurs via le système du réseau social. Les documents ont été saisis par les législateurs britanniques le mois dernier dans le cadre de l'enquête du Parlement britannique sur les infox et placé en accès libre par Damian Collins, président du comité du parlement britannique chargé d’enquêter sur le sujet.

Ces documents dessinent un Facebook paranoïaque face à la concurrence potentielle et donne également un éclairage sur certaines des acquisitions les plus importantes de l’entreprise. Ils montrent à quel point le réseau social surveillait de près les concurrents comme WhatsApp et Snapchat, qui sont devenus des cibles d'acquisition.

Des documents, étiquetés « hautement confidentiels », présentent des diapositives d'une présentation interne de 2013 comparant la portée de Facebook à celle des applications concurrentes, notamment WhatsApp et Snapchat, sur iOS aux Etats-Unis. affichant un Facebook et un Instagram qui dominent en parts de marché (les applications étaient respectivement utilisés par 72,6% et 34,0% des mobinautes américains sur iOS).

Il est possible que Facebook ait considéré Snapchat et WhatsApp comme des menaces potentielles. À l'époque, Snapchat atteignait 13,2% du public américain sur iOS et son application pour iPhone, qui connaissait une croissance rapide, se classait au 16e rang. Messenger, l’application de messagerie de Facebook, enregistrait 13,7% et se classait au 15e rang.

Cette année-là, Facebook tentait d’acquérir Snapchat pour 3 milliards de dollars - une offre rejetée par le PDG de Snap, Evan Spiegel. Facebook a ensuite passé des années à tenter de copier Snapchat comme l’illustre par exemple le clonage de la fonctionnalité Stories.

Et en ce qui concerne WhatsApp, les données montrent à quel point l’acquisition a été importante pour la société et pourquoi elle a coûté 19 milliards de dollars. À l'époque, WhatsApp avait une portée considérable aux États-Unis, se classant troisième derrière Skype et Facebook Messenger. Mais WhatsApp dépassait clairement Facebook en matière d'engagement, avec plus de deux fois plus de messages envoyés.

Des données obtenus via le VPN Onavo

Onavo est une service de Facebook proposant un VPN gratuit. Pour iOS et Android, l’application est destinée à « protéger vos information personnelles ». Cependant, les documents révèlent que Facebook s’est servi des données des utilisateurs pour en apprendre plus sur les applications potentiellement concurrentes et les tendances à suivre.

En clair, les documents publiés indiquent que l'application VPN de Facebook était beaucoup plus invasive que ce qui a déjà été avancé. « Facebook a utilisé Onavo pour mener des enquêtes mondiales sur l'utilisation des applications mobiles par les clients, et apparemment à leur insu », a regretté Damian Collins. « Ils ont utilisé ces données pour évaluer non seulement le nombre de personnes ayant téléchargé des applications, mais aussi leur fréquence d'utilisation. Ces connaissances les ont aidées à choisir les entreprises à acquérir et celles à traiter comme une menace », a-t-il continué.

Notons que Facebook a été contrainte de retirer Onavo de l'App Store d'Apple plus tôt cette année après qu'Apple ait modifié ses directives pour les développeurs afin d'interdire aux applications de collecter des données sur les autres services installés sur les téléphones de ses utilisateurs. Bien qu'Apple n'ait jamais dit que les nouvelles règles visaient Facebook, le changement de politique est intervenu après les critiques répétées du réseau social par le PDG d'Apple, Tim Cook.

Onavo est toujours disponible sur le Google Play Store et aux milliers de personnes qui ont téléchargé la version iOS avant qu'elle n’en soit bannie.

La réaction de Facebook

Dans une déclaration, Facebook a défendu son utilisation des données d'Onavo en avançant que « des sites Web et des applications utilisent depuis des années des outils comme Onavo pour des services d'études de marché ».

« Nous avons toujours été clairs lorsque les gens téléchargent Onavo sur les informations collectées et sur leur utilisation, y compris par Facebook. Nous les informons avant qu’ils ne procèdent au téléchargement de l'application et sur le premier écran affiché après l'installation ». Facebook a également noté que les utilisateurs peuvent désactiver certains types de collecte de données dans les paramètres de l'application.

Source : documents du Parlement Britannique (au format PDF)

Voir aussi :

Les meilleurs employeurs de 2019 : Facebook et Google perdent du terrain aux USA, tandis qu'Ubisoft monte en flèche en France, selon Glassdoor
Pour certains, Facebook aurait contribué à renforcer le mouvement des gilets jaunes en France, doit-on craindre une telle influence du réseau ?
Des employés de Facebook se renseignent sur des emplois extérieurs à l'entreprise, et veulent savoir la meilleure façon de partir de la société
Facebook utiliserait les données personnelles des utilisateurs comme monnaie d'échange pour accorder des privilèges spéciaux à certaines entreprises

[MiaowZedong]

Facebook est coupable, bien sûr. Mais quand même, pour installer un VPN Facebook pour "protéger ses données confidentielles", faut être un peu con.

[toutwd]

Facebook est coupable, bien sûr. Mais quand même, pour installer un VPN Facebook pour "protéger ses données confidentielles", faut être un peu con.

Je suis entièrement d'accord avec vous, mais il me semble que le simple fait de continuer à utiliser FB est déjà très très con non ? surtout depuis "qu'on sais"....

[clementgirardweb]

Apres même les VPN payants ne garantissent pas a 100% une politique de no logs. Mais c'est vrai on donne déjà bien assez de data a Facebook comme ça...

[Stéphane le calme]

Mark Zuckerberg a demandé à des cadres de Facebook de "trouver" un moyen de suivre l'utilisation chiffrée d'applications rivales comme Snap et YouTube,
selon des documents judiciaires

Des documents judiciaires récemment dévoilés ont mis en lumière les pratiques controversées de Facebook, désormais connu sous le nom de Meta Platforms, Inc. Ces documents révèlent que l’entreprise a secrètement surveillé l’utilisation de Snapchat, YouTube et d’autres applications rivales dans un projet surnommé “Project Ghostbusters”. Lancé en 2016, il utilisait Onavo, un service semblable à un réseau privé virtuel acquis par Facebook en 2013, pour intercepter et déchiffrer le trafic réseau entre les applications des utilisateurs et leurs serveurs. Bien que présenté comme un outil pour aider les utilisateurs à protéger leurs données et à économiser de la bande passante, Onavo a servi de moyen pour Facebook de collecter des données sur l’utilisation des applications concurrentes.

Les dirigeants de Facebook n'étaient pas tous satisfaits des efforts déployés par l'entreprise pour déchiffrer le trafic des utilisateurs sur les plateformes concurrentes.

En 2016, Facebook a lancé un projet secret visant à intercepter et à déchiffrer le trafic réseau entre les personnes utilisant l'application Snapchat et ses serveurs. L'objectif était de comprendre le comportement des utilisateurs et d'aider Facebook à concurrencer Snapchat, selon des documents judiciaires récemment dévoilés. Facebook l'a baptisé « projet Ghostbusters », dans une référence évidente au logo de Snapchat qui ressemble à un fantôme.

Il est possible que Facebook ait considéré Snapchat et WhatsApp comme des menaces potentielles. À l'époque, Snapchat atteignait 13,2% du public américain sur iOS et son application pour iPhone, qui connaissait une croissance rapide, se classait au 16^ème rang. Messenger, l’application de messagerie de Facebook, enregistrait 13,7% et se classait au 15^ème rang.

Cette année-là, Facebook tentait d’acquérir Snapchat pour 3 milliards de dollars - une offre rejetée par le PDG de Snap, Evan Spiegel. Facebook a ensuite passé des années à tenter de copier Snapchat comme l’illustre par exemple le clonage de la fonctionnalité Stories.

De nouveaux documents découverts

Mardi, un tribunal fédéral californien a publié de nouveaux documents découverts dans le cadre du recours collectif intenté par des consommateurs contre Meta, la société mère de Facebook. Ces documents révèlent comment Meta a tenté d'acquérir un avantage concurrentiel sur ses concurrents, notamment Snapchat et, plus tard, Amazon et YouTube, en analysant le trafic réseau de la manière dont ses utilisateurs interagissaient avec les concurrents de Meta. Étant donné que ces applications utilisent le chiffrement, Facebook a dû développer une technologie spéciale pour le contourner.

Dans un courriel de juin 2016, Zuckerberg a dit à Javier Olivan, alors responsable de la croissance de Facebook, qu'il voulait une meilleure réponse aux questions sur l'utilisation et la croissance de Snapchat que « parce que leurs données analytiques sont cryptées, nous n'avons pas de données analytiques à leur sujet ». À l'époque, Snapchat était encore une société privée et connaissait une croissance à deux chiffres tous les trimestres.

La correspondance a été révélée dans le cadre d'un litige en cours devant un tribunal fédéral de Californie, dans lequel Meta est accusée de comportement anticoncurrentiel sur le marché de la publicité dans les médias sociaux.

Deux mois après l'envoi du courriel, Facebook a lancé Stories sur Instagram, une fonctionnalité photo effectivement identique à la fonctionnalité principale de Snapchat, à savoir la disparition des posts de photos, qui est depuis devenue l'un des plus grands succès d'Instagram.

« Étant donné la rapidité de leur croissance, il semble important de trouver un nouveau moyen d'obtenir des analyses fiables à leur sujet », a écrit Zuckerberg à propos de Snapchat dans le courriel. « Peut-être devrons-nous faire des panels ou écrire des logiciels personnalisés. Vous devriez trouver un moyen de le faire », a-t-il indiqué à Olivan.

Olivan, qui est depuis devenu directeur des opérations de Meta, a répondu au courriel de Zuckerberg en disant qu'il avait « examiné la question avec l'équipe d'Onavo », en référence à l'application d'analyse du trafic que Facebook a acquise en 2013, qui était déjà utilisée pour un projet distinct de collecte d'échantillons sur la façon dont les gens utilisaient leurs téléphones en dehors des applications de Facebook.

Olivan a ensuite transmis l'e-mail de Zuckerberg à Guy Rosen, qui a fondé et continue de diriger Onavo, en lui demandant de « sortir des sentiers battus ». Rosen est aujourd'hui responsable de la sécurité des informations chez Meta.

Le résultat final a été un « groupe de travail » au sein d'Onavo, appelé en interne le « projet Ghostbusters » (en référence au logo de Snapchat qui représente un fantôme de dessin animé), parfois appelé "Projet Atlas" et finalement appelé le "In-App Action Panel [IAAP]", selon un courriel de juillet 2016 écrit à Olivan inclus dans les documents judiciaires non scellés.

Des « kits » pour rediriger et déchiffrer le trafic

L'utilisation d'Onavo par Facebook pour obtenir des informations sur la manière dont les utilisateurs mobiles interagissent avec les applications de ses concurrents a déjà été dévoilé il y a quelques années. L'application « ne déchiffre pas (ne peut pas déchiffrer) les données », a indiqué un employé de Facebook dans un courriel adressé à Zuckerberg et inclus dans un document du tribunal.

En 2016, le groupe de travail a donc créé un nouveau logiciel pouvant « être installé sur iOS et Android qui intercepte le trafic pour des sous-domaines spécifiques, ce qui nous permet de lire ce qui serait autrement du trafic chiffré afin que nous puissions mesurer l'utilisation in-app (c'est-à-dire les actions spécifiques que les gens effectuent dans l'application, plutôt que la simple visite globale de l'application). Il s'agit d'une approche de type "homme du milieu "», précise le courriel.

Ces « kits » ont permis à Onavo de rediriger et de déchiffrer le trafic des utilisateurs en usurpant l'identité des serveurs de Snapchat, puis de YouTube et d'Amazon, selon une lettre non scellée adressée au tribunal par les annonceurs plaignants. Facebook a procédé par le biais d'un processus appelé « secure sockets layer » (SSL) bumping, selon la lettre. SSL est un protocole qui crypte le trafic internet.

Une attaque de type "man-in-the-middle" - aujourd'hui également appelée "adversary-in-the-middle" - est une attaque par laquelle des hackers interceptent le trafic internet circulant d'un appareil à l'autre sur un réseau. Lorsque le trafic réseau n'est pas chiffré, ce type d'attaque permet aux hackers de lire les données qu'il contient, telles que les noms d'utilisateur, les mots de passe et d'autres activités dans l'application.

Étant donné que Snapchat chiffre le trafic entre l'application et ses serveurs, cette technique d'analyse du réseau ne pouvait pas être efficace. C'est pourquoi les ingénieurs de Facebook ont proposé d'utiliser Onavo, qui, lorsqu'il est activé, a l'avantage de lire tout le trafic réseau de l'appareil avant qu'il ne soit chiffré et envoyé sur l'internet.

Plus tard, selon les documents du tribunal, Facebook a étendu le programme à Amazon et YouTube.

Une méthode qui n'a pas fait l'unanimité au sein de Facebook

Les annonceurs qui poursuivent Meta en justice affirment que l'entreprise n'a pas divulgué pendant des années son utilisation de la technologie Onavo pour intercepter le trafic analytique de ses rivaux. Ils affirment que ce comportement a enfreint les lois sur les écoutes téléphoniques et a permis à Facebook d'augmenter ses tarifs publicitaires au-delà de ce qu'il aurait pu facturer sur un marché concurrentiel.

L'e-mail de juillet 2016 a ensuite précisé que des tiers seraient utilisés pour recruter des utilisateurs afin d'installer le logiciel et que ces utilisateurs ne verraient aucune marque Onavo à moins qu'ils ne prennent la mesure supplémentaire d'utiliser un outil comme Wireshark pour analyser l'outil. En 2019, un média américain a découvert le lien Onavo-Facebook vers une application de "recherche" que des personnes - y compris des enfants de 13 ans - avaient été payées pour télécharger.

Au sein de Facebook, il n'y avait pas de consensus sur la question de savoir si le projet Ghostbusters était une bonne idée. Certains employés, dont Jay Parikh, alors responsable de l'ingénierie des infrastructures de Facebook, et Pedro Canahuati, alors responsable de l'ingénierie de la sécurité, ont exprimé leur inquiétude.

« Je n'arrive pas à trouver un bon argument pour expliquer en quoi c'est acceptable. Aucune personne chargée de la sécurité n'est à l'aise avec cela, quel que soit le consentement que nous obtenons du grand public. Le grand public ne sait tout simplement pas comment ces choses fonctionnent », a écrit Canahuati dans un courriel inclus dans les documents du tribunal.

L'ancien directeur technique de Meta, Mike Schroepfer, aurait déclaré à l'époque : « Si nous découvrions que quelqu'un a trouvé un moyen de casser le chiffrement sur [WhatsApp], nous serions vraiment contrariés ».

Sources : documents judiciaires (1, 2)

Et vous ?

Quelle est votre opinion sur les pratiques de surveillance des applications rivales par Facebook ?
Pensez-vous que les utilisateurs sont suffisamment informés des méthodes de collecte de données par les applications qu’ils utilisent ?
Comment les révélations sur le projet “Ghostbusters” influencent-elles votre perception de la vie privée en ligne ?
Quelles mesures pensez-vous que les régulateurs devraient prendre pour protéger la vie privée des utilisateurs ?
Que pensez-vous du fait qu'une entreprise utilise un service VPN pour collecter des données sur l’utilisation d’autres applications ?
Quel impact ces pratiques peuvent-elles avoir sur la confiance des consommateurs envers les entreprises technologiques ?
Comment les entreprises peuvent-elles équilibrer la collecte de données pour l’innovation avec le respect de la vie privée des utilisateurs ?

Voir aussi :

Avec le « Project Voldemort », Snapchat dénonce les tentatives d'intimidation et les coups tordus de Facebook pour étouffer ses activités

[sami_c]

C'est pas si grave que ça, l'important c'est de bloquer tiktok car il espionne les américains ;p

[Fagus]

facebook installe un troyan qui fait un man in the middle, et google play protect, l'apple store, les antivirus divers, les protections des magasins, la justice, tout le monde trouve ça normal ? je suis sans doute naïf mais j'aurais cru que quelqu'un remarquerait...

Je ne suis pas familier avec le SSL bump. J'ai compris que le proxy se fait passer pour le destinataire. Mais comment est-ce possible ? L'app. espionnée ne vérifie pas la signature des certificats ? quelqu'un peut expliquer ?

[kain_tn]

facebook installe un troyan qui fait un man in the middle, et google play protect, l'apple store, les antivirus divers, les protections des magasins, la justice, tout le monde trouve ça normal ? je suis sans doute naïf mais j'aurais cru que quelqu'un remarquerait...

Google et Apple font la même chose. Voilà pourquoi ils n'en parlent pas plus que ça. Il y a régulièrement des histoires de ce genre là, mais soit personne ne comprend, soit tout le monde s'en fout.
Et en parlant de troyan et de man in the middle, regarde ce que certaines banques sont en train de préparer pour soit disant lutter contre la fraude, en commençant par leurs branches asiatiques, et tu verras que ça va bien plus loin que ce qu'a fait Facebook.

Je ne suis pas familier avec le SSL bump. J'ai compris que le proxy se fait passer pour le destinataire. Mais comment est-ce possible ? L'app. espionnée ne vérifie pas la signature des certificats ? quelqu'un peut expliquer ?

Tu serais étonné de voir le nombre d'applications sensibles qui ne font pas de "certificate pinning".