Comment Facebook a intercepté le trafic chiffré des applications mobiles de ses concurrents

• Un recours collectif est actuellement en cours contre Meta et, d’après les documents judiciaires, l’entreprise pourrait avoir enfreint le Wiretap Act.
• Ce billet s’appuie sur des documents judiciaires et sur une analyse de rétro-ingénierie de l’application Onavo Protect.
• Facebook a utilisé une attaque MITM pour intercepter le trafic HTTPS chiffré des utilisateurs, une méthode qu’il appelait « ssl bump ».

Résumé technique

• L’application Android Onavo Protect contenait du code incitant les utilisateurs à installer un certificat d’autorité de certification délivré par « Facebook Research ».
• Ce certificat était nécessaire pour que Facebook puisse déchiffrer le trafic TLS.
• L’application diffusée en 2016 incluait des certificats Facebook Research CA, dont certains restaient valides jusqu’en 2027.
• Avec l’arrivée de nouvelles versions d’Android, cette méthode n’était plus utilisable.
• Le domaine d’analyse de l’application Snapchat n’utilisait pas l’épinglage de certificat, ce qui rendait l’attaque MITM possible.
• Au-delà des statistiques d’utilisation des applications, il existait aussi des fonctionnalités de collecte de données sensibles, comme l’IMSI.

Fonctionnement

• Un certificat de confiance était installé sur l’appareil, puis tout le trafic était envoyé via un VPN vers l’infrastructure de Facebook, avant d’être déchiffré à l’aide du proxy de cache Squid.
• Le trafic lié aux domaines de Snapchat, Amazon et YouTube était intercepté.
• Avec le temps, le renforcement de la sécurité d’Android a réduit le taux de réussite de cette stratégie.
• Facebook a envisagé l’API d’accessibilité comme solution alternative.

Motivation

• Mark Zuckerberg a indiqué qu’il avait besoin d’analyses fiables sur Snapchat.
• Il existait une volonté de déployer dans d’autres applications la technique d’interception du trafic de certains domaines via l’application VPN Onavo Protect.
• Facebook a acquis Onavo en 2013 pour environ 120 millions de dollars et cherchait à exploiter au mieux cette technologie.

Analyse technique

• Si l’on fait confiance à un site web ou à un serveur distant via HTTPS/TLS, c’est grâce aux certificats publics stockés dans le magasin de confiance de l’appareil.
• L’ajout d’un certificat auto-signé dans ce magasin de confiance permet d’intercepter le trafic TLS chiffré.
• À partir d’Android 11, les certificats ajoutés par l’utilisateur ne sont plus approuvés par la plupart des applications.
• L’application Snapchat n’utilisait pas l’épinglage de certificat pour son domaine d’analyse.

Conclusion

• Le fait que Facebook ait déchiffré le trafic HTTPS des utilisateurs sans leur consentement pourrait contrevenir aux normes éthiques et poser des problèmes juridiques.
• Depuis Android 7, les applications ont été modifiées pour ne plus faire confiance aux certificats du magasin utilisateur.
• Facebook cherchait à collecter des données sensibles comme l’IMSI.

Le récapitulatif de GN⁺

• Cet article explique en détail la méthode technique utilisée par Facebook pour intercepter le trafic de ses concurrents.
• Le renforcement de la sécurité d’Android a rendu ce type de méthode obsolète.
• Le possible détournement de l’API d’accessibilité par Facebook soulève des questions éthiques.
• Parmi les projets similaires, on trouve des outils d’analyse du trafic via VPN.