Meta : panique médiatique autour de l’injection d’un JavaScript de tracking

Un blogueur a laissé entendre, à tort, qu’un code JavaScript injecté par Meta via le navigateur maison intégré dans ses apps Instagram et Facebook permettait au réseau social de « surveiller toutes les interactions des utilisateurs ». Meta rétorque qu’il vise a contrario à respecter l’App Tracking Transparency d’Apple. Explications.

« Instagram et Facebook peuvent suivre tout ce que vous faites sur n’importe quel site Web depuis le navigateur intégré à leur application » iPhone ou Android, affirme sur son blog Felix Krause, ancien ingénieur de Google. Le tweet annonçant son billet est encore plus explicite en faisant sauter le conditionnel, ajoutant de la confusion. Or, les utilisateurs ne sont pas traqués : ils pourraient l’être, potentiellement. Néanmoins, Meta « ne le fait pas ».

Navigateur maison et injection de code JavaScript

Le fond du problème n’est pas nouveau. Plutôt que d’avoir recours aux navigateurs tiers, les applications Meta en utilisent un maison. Un risque découlant de cette pratique est l’injection de code JavaScript à la volée sur les pages visitées, un problème signalé par le même Felix Krause en 2018.

Les conséquences peuvent être importantes car en utilisant cette technique, une application serait « en mesure de suivre chaque interaction avec les sites web, toutes les entrées de formulaire comme les mots de passe et les adresses, jusqu’au moindre clic ». Cela ne concerne pas que Meta, mais tous les éditeurs d’applications. Facebook aurait ouvert la boîte de Pandore en injectant du code – pcm.js –, même s’il ne traque pas, a priori, les utilisateurs, comme le reconnaît d’ailleurs Krause.

En savoir plus