Les navigateurs de TikTok, Instagram et Facebook vous traquent plus que vous le croyez
Si vous avez l’habitude de faire des achats à même le navigateur d’applications comme TikTok, Instagram ou Facebook, vous souhai‐ tez peut-être revoir cette pratique.
Le développeur et cher‐ cheur en cybersécurité Felix Krause a récemment lancé le site en libre accès (open source) InAppBrowser.com. Avec cet outil, vous pouvez vérifier si les navigateurs qui s’ouvrent à l’intérieur des ap‐ plications mobiles, comme Instagram ou TikTok, traquent votre activité en ligne.
Certaines applications iOS et Android utilisent un naviga‐ teur personnalisé à même l'application. Ça entraîne des risques pour la sécurité et la vie privée de l'utilisateur ou l’utilisatrice.
Felix Krause
L’outil a notamment per‐ mis de révéler que l’applica‐ tion chinoise TikTok injecte bel et bien des codes JavaS‐ cript pour traquer les don‐ nées sur son navigateur mai‐ son, et ce, sans le consente‐ ment de l’internaute ni des sites qui sont consultés.
Concrètement, ça signifie que lorsqu'on clique sur une URL pour acheter un produit sur TikTok, par exemple, l’ap‐ plication ouvre une fenêtre in‐ terne. Et comme tout achat en ligne, on y entre des don‐ nées sensibles comme l’adresse postale, des informa‐ tions de carte de crédit et par‐ fois un mot de passe.
Les codes JavaScript peuvent surveiller notam‐ ment les saisies au clavier, les captures d’écran et de simples interactions avec des bou‐ tons.
Un porte-parole de TikTok a confirmé la pratique au ma‐ gazine Forbes, précisant que le code JavaScript en question est utilisé uniquement pour le débogage, le dépannage et le
contrôle des performances de l’expérience.
Comment se protéger Vous pouvez d’abord véri‐ fier si le navigateur interne de l’application que vous utilisez a recours à des codes JavaS‐ cript avec l’outil InAppBrow‐ ser.com. L’objectif est de pou‐ voir ouvrir l’URL à partir de l’application que vous souhai‐ tez tester. Donc, il suffit de le publier en commentaire ou de l'envoyer à n’importe quelle personne en message direct (direct message ou DM, en anglais) sur Instagram, par exemple, et d’appuyer dessus pour que le site analyse les scripts exécutés en arrièreplan et fournisse un rapport.
S’il est positif, pensez à vé‐ rifier si l’application que vous utilisez offre la possibilité d’ouvrir un navigateur ex‐ terne comme Safari ou Google, par exemple.
Felix Krause note par ailleurs que TikTok est la seule application parmi celles qu’il a testé qui n’offrent pas la pos‐ sibilité d’utiliser le navigateur par défaut de l’appareil.
Le développeur insiste aussi sur le fait que son outil n’est pas infaillible : [Il] ne peut pas détecter toutes les commandes JavaScript exécu‐ tées. [...] À partir d'iOS 14.3, Apple a introduit une nou‐ velle façon d'exécuter le code JavaScript dans un monde iso‐ lé, ce qui rend impossible pour un site web de vérifier quel code est exécuté.
Les géants nous traquent
À la mi-août, Felix Krause a alerté les internautes dans un rapport détaillé sur la façon dont les navigateurs d’appli‐ cations pouvaient constituer un risque pour la vie privée des utilisateurs et utilisatrices d’appareils Apple, notam‐ ment.
Meta a pour sa part décla‐ ré au développeur que les uti‐ lisateurs et utilisatrices de Fa‐ cebook et d’Instagram consentent déjà à ce que leurs données soient tra‐ quées. Selon le géant du web, ces informations sont utili‐ sées seulement pour des fins de publicités ciblées ou de mesure.
Pour les achats effectués par le biais du navigateur in‐ tra-application, nous deman‐ dons le consentement de l'utilisateur ou l’utilisatrice pour enregistrer les informa‐ tions de paiement à des fins de remplissage automatique, a précisé un porte-parole.
Le rapport de Krause a aussi permis de dévoiler que les applications Snapchat et Robinhood ont de meilleures pratiques sur le traçage des internautes : elles ne modi‐ fient pas les pages web et ne récupèrent pas les métadon‐ nées des sites que vous ou‐ vrez dans leurs navigateurs.