Le programme d’analyse marketing Facebook Research s’appuie sur un VPN et un certificat racine, permettant d’accéder aux contenus de presque tous les flux échangés par les utilisateurs. Une pratique interdite par Apple.
Chez Facebook, on le sait, la collecte d’informations en douce est devenue une tradition. Mais celle-ci requiert de plus en plus d’ingéniosité, comme le montre le dernier scandale en date révélé par TechCrunch, relatif au programme d’analyse marketing « Facebook Research ». Celui-ci consiste à diffuser des applications mobiles capables de collecter presque tous les flux des utilisateurs : la navigation et les recherches sur le web, les contenus envoyés ou reçus par messageries instantanées (texte, photo ou vidéo), les données de localisation, etc. L’intérêt de Facebook, c’est de pouvoir identifier les nouvelles tendances d’usage. En contrepartie, les participants à ce programme reçoivent de l’argent (20 dollars/mois). Un peu comme les cobayes des laboratoires pharmaceutiques, en moins bien payés.
Diffusion en bêta test
Le principe de rémunérer les gens pour accéder leurs données n’est déjà pas terrible en soi. Mais la manière dont Facebook a mis en place ce programme sur la plateforme d’Apple est impressionnante. Par défaut, une application iOS ne dispose que de droits d’accès très limités au niveau du système. Elle ne peut pas fouiller dans les données des autres applications, et encore moins dans les flux web chiffrés. Pour contourner ce problème, les applications de Facebook ont été diffusées par des plates-formes de bêtatest, à savoir Applause, BetaBound et uTest. Apple dispose également d’une telle solution (TestFlight), mais les applications sont alors analysées au préalable comme sur AppStore. Ce que Facebook a certainement cherché à éviter, étant donné le type d’application qui est diffusée.
Selon un chercheur en sécurité interrogé par TechCrunch, le logiciel que les participants sont invités à installer est en réalité un clone d’Onavo, le fameux VPN que Facebook a déjà utilisé par le passé pour espionner les connexions des utilisateurs et qui depuis a été éjecté de l’AppStore. Mais ce n’est pas tout. La première chose que cette application va faire est d’installer un certificat racine sur le terminal, évidemment avec l’approbation de l’utilisateur. Grâce à ce certificat, l’application va pouvoir accéder au contenu de n’importe quel flux web chiffré en TLS. C’est, au fond, la même technique d’interception qu’utilisent les entreprises pour déchiffrer les flux web de leurs salariés.
Non conforme aux conditions d’utilisation d’Apple
Les utilisateurs ont certes donné un consentement pour se faire espionner par Facebook. Mais le problème, c’est que Facebook ne respecte pas les conditions d’utilisation de la plateforme d’Apple. Comme le réseau social ne pouvait pas diffuser son application de manière classique, il a été contraint de passer par le programme Apple Enterprise Developer Program, qui permet aux sociétés d’installer des applications propriétaires sur les iDevices de leurs salariés.
Mais ce programme n’autorise pas de diffuser des applications à des clients ou à des tiers. « Nous avons conçu notre programme de développement d’entreprise uniquement pour la distribution interne d’applications au sein d’une organisation, a confirmé un porte-parole d’Apple auprès de TechCrunch. Facebook utilise leur abonnement pour distribuer une application de collecte de données aux consommateurs, ce qui constitue une violation flagrante de leur contrat avec Apple. Tous les développeurs utilisant leurs certificats d’entreprise pour distribuer des applications aux consommateurs verront leurs certificats révoqués. C’est ce que nous avons fait dans le cas présent pour protéger nos utilisateurs et leurs données. » La version Android de Facebook Research, par contre, n’a pas été arrêtée. Chez Google, de toute façon, la collecte de données n’a jamais été un vrai problème.
Source : 01net