Le Washington Post conseille pour protéger sa vie privée d’abandonner Chrome et de supprimer les applications de Meta et Yandex

 (tech.slashdot.org)
2 points par GN⁺ 2025-06-08 | 1 commentaires | Partager sur WhatsApp
  • Le chroniqueur tech du Washington Post rapporte que Meta et Yandex ont collecté des données d’utilisateurs pendant des mois en contournant les protections de sécurité d’Android
  • Des chercheurs ont montré qu’aucun réglage ne permettait d’empêcher cette collecte de données
  • Le navigateur Chrome ne bloque pas la plupart des mécanismes de suivi intersites, ce qui le rend faible sur le plan de la protection de la vie privée
  • Les applications Meta et Yandex peuvent, une fois installées sur un téléphone, accéder à davantage d’informations sensibles
  • Même sans application Meta, l’activité des utilisateurs peut être suivie sur l’ensemble du Web par Meta

Aperçu

Un chroniqueur tech du Washington Post souligne que Meta (Facebook, Instagram) et Yandex ont contourné les mécanismes de sécurité et de protection de la vie privée des appareils Android pour collecter discrètement des données d’utilisateurs sur une longue période. Selon cette étude, aucun réglage ne permettait de bloquer totalement cette collecte, et les deux entreprises contournaient aussi les mesures de protection mises en place par Google pour Android.

Failles de confidentialité lors de l’utilisation du navigateur Chrome

  • L’étude montre que le navigateur Chrome échoue souvent à bloquer le suivi intersites, ce qui crée un risque de fuite d’informations permettant d’identifier une personne
  • Des navigateurs comme Mozilla Firefox, Brave et DuckDuckGo bloquent fortement de nombreuses méthodes de suivi, et Safari offre lui aussi, dans l’ensemble, de solides protections
  • Cela dit, aucun navigateur n’offre une sécurité parfaite, et Firefox reste lui aussi partiellement exposé à cette collecte de données sur Android
  • L’enquête indique que DuckDuckGo et Brave bloquent la majeure partie du processus de collecte en cause

Suppression recommandée des applications Meta et Yandex

  • Si les applications Meta et Yandex (applications mobiles) sont installées, il est recommandé de les supprimer
  • Ces applications peuvent accéder à des informations sensibles bien plus étendues que les sites web, notamment la localisation approximative, le niveau de batterie et des informations sur d’autres appareils connectés au Wi‑Fi domestique
  • Cet accès représente un risque supplémentaire d’exposition non souhaitée et d’atteinte à la vie privée

Un risque de suivi existe même sans installer l’application

  • Même sans utiliser ni installer des applications de l’écosystème Meta comme Facebook ou Instagram, Meta peut toujours collecter des informations sur le comportement des utilisateurs à travers le Web
  • L’activité des utilisateurs peut être recueillie via des pixels de suivi intégrés aux sites web ou par d’autres méthodes d’identification

Conclusion et pistes d’action pour les utilisateurs

  • L’article souligne que les seules fonctions de sécurité du navigateur ne suffisent pas à garantir totalement la protection de la vie privée, et que certaines applications peuvent être détournées pour accéder à des informations de manière non voulue
  • Parmi les mesures concrètes recommandées figurent l’usage d’un navigateur centré sur la vie privée comme Brave à la place de Chrome, la suppression des applications Meta et Yandex et la réduction du suivi sur le Web

À lire aussi

1 commentaires

 
GN⁺ 2025-06-08
Avis sur Hacker News

  • Une information qui omet de recommander l’installation d’un bloqueur de publicités ne peut pas être considérée comme fiable

    • Si un média dépend des revenus publicitaires, il est peu probable qu’il recommande l’installation d’un bloqueur de pub ; cela dit, abandonner carrément ce type de produits intrusifs reste un bon choix, indépendamment de l’usage d’un bloqueur. L’affaire impliquant Meta et Yandex est même jugée au niveau d’un malware, et certains estiment que tout le monde devrait supprimer leurs applications.
    • L’information n’est pas parfaite, mais ce n’est pas un mauvais conseil de base ; pour les utilisateurs ordinaires, cela peut servir de point de départ. On peut commencer par ces fondamentaux puis découvrir naturellement des sujets complémentaires comme les bloqueurs de pub. À noter qu’un article d’ArsTechnica rassemble davantage de conseils : voir l’article
    • Rappel du fait que le FBI recommande lui aussi l’usage de bloqueurs de pub : discussion liée
    • Critique de cette réticence à mordre la main qui vous nourrit, mais appréciation du fait qu’on pousse au moins les gens à migrer vers d’autres navigateurs. Changer de navigateur constitue déjà un grand pas, et une fois ce changement fait, installer l’extension la plus populaire devient très facile ; remarque semi-humoristique invitant à deviner laquelle.
    • Question sur le fait de savoir si un bloqueur de pub empêche réellement les fuites de données personnelles : il bloque la collecte d’informations destinée à la publicité ciblée, mais les sources externes restent toujours des points de fuite potentiels. Mention de CORS (Cross-Origin Resource Sharing) comme technologie conçue pour réduire ce genre de problème. Interrogation sur le fait de savoir si les bloqueurs créent paradoxalement davantage de fuites, ou s’ils réduisent surtout l’incitation à collecter les données.

  • Partage du lien vers l’article original : voir l’article

    • Il est mentionné que l’article de slashdot renvoie lui-même vers msn comme source ; le fait de pouvoir consulter la source directe est jugé préférable.

  • Inquiétude sur ce que feront les autres applications maintenant que cette technique est connue : à moins de corriger complètement le problème, y compris dans le webview système, toutes sortes d’applications assimilables à des spyware présentes sur le Play Store tenteront d’exploiter cette méthode pour suivre les utilisateurs. Il est aussi reproché à Google de n’avoir absolument rien fait après avoir été alerté, il y a plusieurs mois, d’un problème permettant aux applications de consulter sans autorisation la liste complète des apps installées par l’utilisateur. Certains disent croire que Google ne se soucie pas du tout de la vie privée de ses utilisateurs ; dans un tel contexte, un iPhone, GrapheneOS, voire l’absence totale de smartphone, seraient préférables.

  • Avis disant ne pas bien comprendre cette méthode d’attaque. En se basant sur cette phrase de l’article du Washington Post — “Millions of websites contain a string of computer code from Meta that compiles your web activity. It might capture the income you report to the government, your application for a student loan and your online shopping.” — la personne s’étonne qu’on puisse parler d’un scénario où Meta verrait en clair l’ensemble du contenu web HTTPS et l’enverrait, ce qui serait énorme. D’après sa compréhension, il s’agissait plutôt d’un suivi des sites visités, pas d’un accès à toutes les données présentes dans la page.

    • Si cette attaque brise même la same-origin policy, ce serait une faille de sécurité gigantesque. Il paraît plausible que Meta coopère avec d’autres sites pour partager des données utilisateurs, mais voler en douce des données fiscales sans coopération de l’IRS semble difficilement réaliste. En revanche, si des entreprises comme Intuit ou H&R Block partagent des données avec Meta, cela constituerait une atteinte grave à la vie privée, et les données fiscales poseraient en particulier un possible problème d’illégalité.

  • Réflexion sur la possibilité d’utiliser cela d’un point de vue fiscal quand une entreprise impose l’usage de Chrome. Si, en tant que contractuel, on est forcé d’utiliser Chrome et un mobile, est-il possible de déduire un téléphone de travail séparé ? La personne dit ne pas vouloir installer les deux sur son iPhone et admet vouloir au moins récupérer quelque chose d’une manière ou d’une autre.

    • Séparer strictement les appareils personnels et professionnels est présenté comme une bonne habitude. Conseil pragmatique : en cas de procès ou de procédure de discovery, il peut être nécessaire de remettre l’appareil ; après avoir vécu ce type de situation, tout le monde arriverait à la même conclusion.

  • Bien que l’article date de 30 mois, on suppose que le volume des trackers en ligne liés à Google ne s’est probablement pas amélioré : article de référence

  • Quelqu’un explique utiliser Zen Browser (FF) sur Windows avec synchronisation via Firefox (iOS), tandis qu’Edge sert pour le travail lié à M365 et Chrome reste utilisé pour le développement web ; la question demeure de savoir par quoi remplacer Chrome pour cet usage.

    • En tant que développeur web débutant, la personne se dit très satisfaite des outils de développement web de Firefox et se demande en quoi ceux de Chrome sont meilleurs. Elle s’interroge en notant que les fonctions principales semblent déjà présentes : édition CSS en temps réel, repérage de l’emplacement de la règle CSS surchargée, débogage JS, etc.

  • Retour d’expérience récent : impossible de télécharger directement un PDF dans Chrome, alors que cela fonctionnait dans Firefox ; dans Chrome, le fichier ne semblait pouvoir être enregistré que dans Drive (cloud).

    • Une autre personne dit avoir téléchargé des PDF sans aucun problème ce matin même avec la dernière version de Chrome et conseille de vérifier s’il ne s’agit pas d’une configuration particulière.
    • Il est ajouté que, dans Chrome, on peut enregistrer un PDF en faisant clic droit puis Save As.
    • Quelqu’un décrit le problème inverse : il regrette que le PDF soit désormais téléchargé au lieu d’être simplement affiché/rendu pour lecture.
    • Demande si le bouton Print a été cherché.

  • Demande d’astuce pour utiliser WhatsApp sans installer l’application

    • Proposition : informer ses contacts WA (WhatsApp) d’un autre moyen de contact puis supprimer l’application ; cela permettrait d’arrêter d’utiliser WhatsApp.
    • Telegram est également proposé comme alternative.

  • Suggestion d’arrêter aussi d’utiliser Alexa, avec une remarque humoristique selon laquelle un tel conseil ne viendrait évidemment pas du journal de Bezos.