Voici pourquoi il ne faut JAMAIS ouvrir de liens sur Facebook et Instagram !

Selon Felix Krause, Meta surveille les utilisateurs de ses applications en injectant du code JavaScript sur les pages des autres sites web. C’est en cliquant sur les liens externes que les internautes déclencheraient la procédure.

Un moyen de surveiller les utilisateurs

Les utilisateurs des applications Facebook et Instagram l’ont sans doute souvent remarqué. Lorsqu’on clique sur les liens externes, le navigateur de Meta s’ouvre automatiquement. Certains pensent que c’est l’œuvre de Safari, mais ce n’est pas le cas. La création vient bel et bien de Meta.

Selon l’analyste Felix Krause, cette ouverture automatique du navigateur a un objectif bien précis, surveiller les intéractions des internautes. Une conclusion à laquelle il a abouti après avoir mené des recherches.

Notons que tout a commencé après que Felix Krause ai décidé d’en savoir plus sur l’ouverture automatique du navigateur. Pour obtenir des réponses à ses questions, il a conçu un logiciel capable de détecter les injections de code.

Un logiciel qu’il a d’abord testé en utilisant Telegram. En cliquant sur des liens externes dans l’application, Felix a pu relever qu’aucune injection de code n’a lieu. Ce qui ne fut pas le cas, lorsqu’il a répété la même expérience avec Facebook, Messenger et Instagram.

En effet, le logiciel a identifié que du code JavaScript est injecté dans la page vers laquelle l’utilisateur est redirigé lorsqu’il clique sur un lien. Et ce, qu’il utilise un appareil iOS ou Android.

L’objectif de l’injection de code

Selon l’analyste, le fichier JavaScript injecté lors de la redirection est le connect.facebook.net/en_US/pcm.js. En gros, ce code crée des liens qui permettent de communiquer avec l’application hôte, c’est-à-dire, Facebook, Messenger et Instagram.

De cette manière, elles peuvent retracer les chemins empruntés par les utilisateurs et identifier ce qu’ils font, une fois qu’ils ne sont plus sur l’application. À chaque fois qu’on fait une sélection, qu’on clique sur un bouton ou qu’on fait un screenshot, l’application est tenue au courant et enregistre.

« Cela permet à Instagram de surveiller tout ce qui se passe sur des sites Web externes, sans le consentement de l’utilisateur ni du fournisseur du site Web. Même si pcm.js ne le fait pas, l’injection de scripts personnalisés dans des sites Web tiers leur permet de surveiller toutes les interactions des utilisateurs, comme chaque bouton et lien tapé, les sélections de texte, les captures d’écran, ainsi que toutes les entrées de formulaire, comme les mots de passe, les adresses et numéros de carte de crédit », a expliqué Félix Krause.

L’analyste en est convaincu, le fichier JavaScript a pour fonction de surveiller les interactions des utilisateurs. Grâce à celui-ci, Meta serait même capable de déterminer les informations indiquées dans les formulaires en ligne. Il peut s’agir de vos mots de passe, de numéros ou encore d’adresses. Des informations que seul l’utilisateur devrait connaître.

Meta a démenti les accusations

La découverte partagée par Felix Krause a poussé le géant californien à réagir. Pour calmer le jeu, la société a expliqué que l’injection de code JavaScript ne sert pas à surveiller les interactions des utilisateurs.

Elle aiderait juste à regrouper les événements tels que les achats en ligne avant qu’ils ne soient « utilisés pour la publicité ciblée et la mesure pour la plate-forme Facebook ».

L’entreprise assure que pour « enregistrer les informations de paiement », elle demande toujours le consentement de l’utilisateur. Notamment lorsque celui-ci achète en utilisant le navigateur intégré à l’application.

Malgré cela, Felix Krause reste perplexe. Pour lui, rien ne sert d’intégrer un navigateur aux applications de Meta sauf si c’est pour faire de la surveillance. De plus, le fait d’injecter le code JavaScript dans les pages des autres sites comporte certains risques.

Le fait est que l’application hôte peut suivre tout ce qui se déroule sur la page web. Ce qui facilite le vol des données personnelles comme les identifiants ou les mots de passe.

L’injection de code lui permet aussi de passer des publicités sur le site, de remplacer sa clé API des annonces ainsi que les URL. Ce qui constitue une menace pour l’application hôte, car de telles modifications peuvent amener à se faire facilement pirater.

Par ailleurs, il existe un moyen simple d’échapper au suivi de Meta. Il suffit d’ouvrir les liens dans un navigateur autre que le navigateur intégré à l’application.

En général, il est possible de le faire juste en cliquant sur un bouton. Cependant, si ce bouton n’est pas disponible, vous pouvez toujours copier l’URL et l’ouvrir dans le navigateur de votre choix.