Le VPN Onavo de Meta déchiffrait le chiffrement SSL du trafic d’analyse de ses concurrents

 (documentcloud.org)
2 points par GN⁺ 2024-04-01 | 1 commentaires | Partager sur WhatsApp

Découverte dans le cadre d’un recours collectif contre Facebook/Meta

  • Les plaignants, des annonceurs, demandent au tribunal de reconnaître l’existence d’une exception pour crime-fraude concernant certaines communications.
  • Ces communications concernent le programme dit In-App Action Panel (IAAP) de Facebook, qui a existé de juin 2016 à environ mai 2019.
  • Le programme IAAP a été lancé à la demande de Mark Zuckerberg et utilisait une méthode d’attaque de type SSL man-in-the-middle pour intercepter et déchiffrer le trafic d’analyse protégé par SSL de Snapchat, YouTube et Amazon afin d’éclairer les décisions concurrentielles de Facebook.

Le programme IAAP de Facebook, un ciblage concurrentiel par l’espionnage des rivaux

  • Le 9 juin 2016, Mark Zuckerberg a envoyé aux hauts dirigeants de l’entreprise un message intitulé « Snapchat analysis ».
  • Javier Olivan, aujourd’hui COO de Facebook, a approuvé en disant qu’il s’agissait d’une des questions d’analyse de marché importantes, tout en précisant que c’était techniquement complexe et que cela pouvait nécessiter une validation juridique.
  • L’équipe Onavo a planifié un « lockdown effort » pour résoudre ce problème, en indiquant que c’était une occasion pour l’équipe de se distinguer.
  • L’équipe Onavo a proposé une solution destinée à la haute direction sous la supervision du service juridique interne.

L’avis de GN⁺

  • Cette affaire traite de questions juridiques liées à l’atteinte à la confidentialité des données par une entreprise, et fournit des informations importantes aux consommateurs comme à la communauté technologique.
  • Les accusations selon lesquelles Facebook aurait collecté illégalement les données de ses concurrents pourraient relancer le débat sur l’éthique des entreprises et leur responsabilité juridique.
  • Ce type d’affaire constitue aussi un avertissement pour d’autres entreprises et souligne l’importance de la protection des données et de la sécurité des informations personnelles.
  • Parmi les projets ou produits offrant des fonctions similaires, on trouve des services VPN axés sur le renforcement de la sécurité ou des outils de communication chiffrée, qui peuvent aider à protéger les données des utilisateurs.
  • Lors de l’adoption d’une technologie, il faut examiner attentivement si elle respecte les normes juridiques et éthiques, et cette affaire montre l’importance d’évaluer les risques juridiques liés à l’usage de la technologie par les entreprises.

À lire aussi

1 commentaires

 
GN⁺ 2024-04-01
Avis sur Hacker News

  • Certains estiment que si une personne avait fait cela, le Computer Fraud and Abuse Act (CFAA) s'appliquerait. Pour Meta, il faudra voir ce qu'il en advient.

    • Si une personne avait agi de cette manière, on peut s'attendre à ce que le Computer Fraud and Abuse Act (CFAA) s'applique, mais dans le cas de Meta, il faut attendre de voir l'issue.

  • Un MITM (attaque de l'homme du milieu) s'appelle une « attaque », pas de la « recherche ». Un professionnel de l'IT partage avoir découvert des pratiques douteuses et être passé par le parti politique.

    • Une attaque de l'homme du milieu (MITM) est une attaque, pas de la recherche, et un ingénieur attaché à l'éthique n'aurait pas tenté ce genre de choses chez Meta.

  • Ironie relevée : annoncer publiquement l'ajout du chiffrement de bout en bout à une application (WhatsApp), tout en cassant secrètement TLS dans d'autres applications.

    • Remarque sur le comportement ironique de Meta, qui annonce ajouter le chiffrement de bout en bout à WhatsApp tout en cassant secrètement TLS dans d'autres applications.

  • Selon un avis, les FANGs (Facebook, Amazon, Netflix, Google) mènent de fait une guerre psychologique de masse contre le public en toute quasi-impunité, et les poursuites occasionnelles n'ont pas d'importance.

    • Avis selon lequel les FANGs mènent de fait une guerre psychologique de masse contre le public sans pratiquement aucune sanction, et que les procès occasionnels ont peu d'effet.

  • Meta est qualifié d'« empire du mal en ligne », et son histoire d'entreprise est critiquée comme étant remplie de comportements moralement douteux.

    • Meta est désigné comme un « empire du mal en ligne », et l'on critique une histoire d'entreprise remplie de comportements moralement douteux.

  • Des questions sont soulevées sur ce que fait Cloudflare via la terminaison / l'offloading SSL.

    • Interrogation sur ce que fait Cloudflare via la terminaison / l'offloading SSL.

  • Il ne faut pas confondre TLS et SSL, et retirer TLS sans l'indiquer dans les conditions d'utilisation devrait être puni au titre du CFAA.

    • Remarque soulignant qu'il ne faut pas confondre TLS et SSL, et que retirer TLS sans le préciser dans les conditions d'utilisation devrait être sanctionné au titre du CFAA.

  • Meta nie avoir violé les lois sur les écoutes, mais ne présente aucune preuve de consentement. Des questions sont posées sur la raison pour laquelle Meta hésite à publier des documents sur l'interférence des communications par une application VPN qu'elle qualifie d'« étude de marché ».

    • Meta nie toute violation des lois sur les écoutes sans fournir de preuve de consentement, et l'on s'interroge sur la raison pour laquelle l'entreprise qualifie d'« étude de marché » l'interférence des communications via une application VPN tout en hésitant à publier les documents correspondants.

  • Selon les documents, on se demande si le plan consistait à déployer cela à titre expérimental sans en informer les utilisateurs, ou si les utilisateurs devaient consentir et participer.

    • Selon les documents, question de savoir si le plan de Meta était de déployer cela à l'essai sans en informer les utilisateurs, ou si les utilisateurs devaient donner leur consentement et participer.