Pendant des années, des millions d’utilisateurs de smartphones Android ont été suivis à leur insu par des applications populaires telles que Facebook, Instagram et Yandex. Une étude internationale menée par des chercheurs de la KU Leuven, de l’Université Radboud aux Pays-Bas et de l’institut IMDEA Networks a révélé une violation massive de la vie privée, orchestrée via une porte dérobée dans le système d’exploitation Android. Ce scandale, qui a échappé à l’attention du grand public jusqu’à aujourd’hui, soulève des questions sur la protection des données personnelles. En pratique, chaque fois qu’un utilisateur d’un smartphone Android surfait sur le web, des applications comme Facebook ou Instagram pouvaient collecter ces données en arrière-plan. Cette surveillance s’effectuait même en mode incognito, un mode pourtant censé garantir une navigation privée. Les informations collectées – historique de navigation, recherches effectuées – étaient ensuite directement liées aux profils des utilisateurs, incluant leur nom, leur adresse e-mail et d’autres données personnelles. Ainsi, Meta, la société mère de Facebook et Instagram, ainsi que Yandex, une entreprise russe, ont pu dresser un portrait détaillé des habitudes en ligne des utilisateurs, sans jamais obtenir leur consentement. Si le géant russe Yandex, souvent surnommé le “Google russe” exploite cette faille depuis 2017, Meta n’a commencé à l’exploiter que depuis 2024. Les applications exécutent un mini-serveur en arrière-plan, interceptant les données pour les relier ensuite à l’identifiant unique de l’appareil. Le tout se fait en toute illégalité et bien entendu sans aucune forme de transparence : ni les utilisateurs ni les propriétaires des sites Web n’étaient informés de cette collecte de données. Le mécanisme à l’origine de cette collecte repose sur un « canal caché » dans le système Android. Ce canal, normalement destiné à la communication interne d’une application, a été détourné pour intercepter des données provenant de millions de sites Web. Ces sites, infectés par des morceaux de code spécifiques, transmettaient des informations aux applications installées sur le téléphone. Selon les chercheurs, plus de 8 millions de sites à travers le monde seraient concernés, affectant potentiellement des millions d’utilisateurs, en ce compris en Belgique. Gunes Acar, le professeur adjoint à l’Université Radboud et co-responsable de l’étude, tire à boulets rouges sur Meta : « Cette façon de surveiller est sans précédent. Ce que vous faites en ligne, en dehors de l’application, est discrètement renvoyé à votre profil, alors que vous pensiez naviguer en privé. » Cette révélation met en lumière une faille systémique dans la manière dont les applications Android peuvent accéder et exploiter des données sans consentement explicite. Face à ce scandale, Google, le géant du web qui se cache derrière le système d’exploitation Android, a réagi en déclarant : « Les développeurs impliqués violent clairement nos principes de sécurité et de confidentialité. Nous avons déjà pris des mesures pour limiter ces techniques et poursuivons notre propre enquête. » L’entreprise n’a toutefois pas modifié la méthodologie pour l’instant, ce qui rend l’exploitation de ces données toujours possible. Les chercheurs appellent à des régulations plus strictes dans les magasins d’applications pour prévenir de tels abus. Il n’existe malheureusement aucune solution pour y échapper, si ce n’est de passer sur iPhone. Le système d’exploitation d’Apple n’utilise pas la même technologie et Meta ne serait dès lors pas parvenu à récupérer ces données sur les terminaux pommés. Si vous disposez d’un smartphone Android, vous pouvez décider de restreindre les autorisations accordées aux applications de Meta, ou de les supprimer de votre smartphone. Reste qu’au vu de la popularité de Facebook et Instagram, cela risque d’être compliqué pour beaucoup d’utilisateurs… Source : HLN