Les géants de la technologie exploitent une faille d'Android pour un suivi discret des utilisateurs
Les utilisateurs d’Android vont faire une découverte alors que des chercheurs universitaires dévoilent une faille choquante dans l’interface de bouclage du système d’exploitation. Cette vulnérabilité aurait permis à des géants de la technologie comme Meta et Yandex de collecter des données de navigation web des utilisateurs d’une manière que de nombreux paramètres de confidentialité, y compris le mode Incognito, ne pouvaient pas empêcher.
Une faille dans l’interface de bouclage
La faille, centrée autour de l’adresse “localhost” d’Android, traditionnellement utilisée par les développeurs pour les tests d’applications basées sur un serveur, a ouvert de larges possibilités de suivi des utilisateurs. Meta aurait pu exploiter cette faille via des applications comme Facebook et Instagram. La suite de Yandex — y compris Maps et leur navigateur web — est également accusée de fouiller les données web désanonymisées. Ce problème, découvert par des chercheurs diligents, est qualifié de “désordre local” trompeur.
Selon CPO Magazine, les chercheurs estiment que des milliards d’utilisateurs d’Android pourraient potentiellement être touchés. Les applications liées à ces entreprises — dotées de la capacité d’écouter sur un port “localhost” fixe — pourraient recueillir des métadonnées, des cookies et même suivre les commandes des utilisateurs.
Une danse avec les réseaux publicitaires
Cette collecte de données clandestine dépend de sites web coopératifs intégrant des scripts publicitaires de Meta ou de Yandex. Ces réseaux s’intègrent parfaitement dans les navigateurs, collectant des données liées à des identifiants publicitaires Android uniques ou à des noms de compte utilisateur, menant à une désanonymisation.
Le cookie “_fbp” de Meta, présent sur 25 % des principaux sites web millionnaires et sur plus de 5,8 millions de sites au total, agit comme un catalyseur de collecte de données. De même, l’outil d’analyse de Yandex, Yandex Metrica, est présent sur plus d’un demi-million de sites web.
Définir la frontière de la confidentialité
La violation alléguée de la confidentialité n’est pas passée inaperçue. Meta a décrit l’incident comme une potentielle “mauvaise communication concernant les politiques” avec Google. Les deux entreprises ont répondu en arrêtant leurs pratiques de collecte de données et en s’engageant avec Google pour trouver une solution.
Cette révélation a déclenché un effet d’entraînement, incitant les navigateurs comme Chrome, DuckDuckGo et Brave à renforcer leurs défenses. Firefox promet également des mises à jour prochaines pour renforcer la confidentialité des utilisateurs.
Un appel mondial à la confidentialité
L’histoire ne s’arrête pas là. Cette faille n’est pas confinée à Android ; les appareils iOS, bien que mieux protégés, pourraient faire face à des menaces similaires. Alors que ces révélations se dévoilent, des experts en cybersécurité comme Ted Miracco plaident pour une surveillance réglementaire rigoureuse.
Cette technique symbolise un défi fondamental aux limites établies de la confidentialité. En atténuant la séparation entre l’activité de navigation et celle des applications, les géants de la technologie s’aventurent profondément dans les zones grises de la conformité au RGPD, à la CCPA et à la directive ePrivacy.
Le moment d’agir est arrivé, alors que le monde de la technologie réévalue les normes de confidentialité et relance la conversation autour des pratiques éthiques de gestion des données des utilisateurs. Ce qui est évident, c’est que les consommateurs doivent protéger vigoureusement leur présence numérique et défendre des mesures de protection des données robustes et transparentes.