La technique de « localhost tracking » de Meta expose l’entreprise à une amende pouvant atteindre 32 milliards d’euros

 (zeropartydata.es)
8 points par GN⁺ 2025-06-11 | 5 commentaires | Partager sur WhatsApp
  • Meta a développé un mécanisme de suivi contournant la sandbox Android (« localhost tracking »), reliant l’identité réelle des utilisateurs à leur activité de navigation web indépendamment d’un VPN, du mode privé ou de la suppression des cookies
  • Cette technique permet à l’application Meta (en arrière-plan) et au script Meta Pixel dans le navigateur d’échanger des informations via des ports du réseau local, et de relier le cookie _fbp à un compte même sans connexion de l’utilisateur
  • Cette méthode relie le comportement de navigation web à des comptes Facebook/Instagram réels, permettant une intégration massive de données personnelles sans consentement des utilisateurs
  • Elle pourrait enfreindre simultanément le RGPD, le DSA et le DMA, soit les principales lois européennes sur la protection des données, avec une accumulation possible des sanctions et une amende maximale de 32 milliards d’euros (environ 4 %, 6 % et 10 % du chiffre d’affaires)
  • Pendant plus de 9 mois, un suivi massif aurait été réalisé sans consentement sur 22 % des grands sites mondiaux (dont plus de 17 000 aux États-Unis), avec la collecte croisée de données personnelles de centaines de millions de personnes « sans explication explicite »
  • En raison de violations répétées, d’un abus de position dominante et d’une volonté manifeste de contournement technique, l’hypothèse d’une sanction cumulée record, une première historique, est évoquée
  • Seuls certains utilisateurs, notamment sur iOS, PC ou sans application installée, échapperaient à l’impact

La technologie de « localhost tracking » de Meta

  • Grâce à une technique innovante mais controversée appelée « localhost tracking », Meta contourne les protections d’identification des ressources utilisateur que le système de sandbox Android bloque volontairement
  • Les applications Facebook/Instagram ouvrent en arrière-plan des ports TCP/UDP spécifiques sur le téléphone et restent en état d’« écoute » (connexion au compte requise)
  • Lorsqu’un utilisateur visite un site web depuis le navigateur sur le même appareil (ex. : actualités, e-commerce), si ce site a installé Meta Pixel, les cookies et les informations d’activité sont immédiatement collectés
    • Les mesures de protection de la vie privée comme le VPN, le mode privé ou la suppression des cookies sont sans effet
  • Le script Meta Pixel du navigateur utilise WebRTC (à l’origine destiné à la communication vidéo/audio) et une astuce appelée SDP Munging pour transmettre directement le cookie _fbp à l’application
  • En parallèle, les mêmes informations sont également envoyées séparément aux serveurs de Meta, ce qui permet un suivi corrélé dans les deux sens, en ligne et hors ligne
  • Les applications Facebook/Instagram reçoivent la valeur _fbp et la renvoient ensuite au serveur Meta GraphQL avec l’identifiant unique du compte
    • Résultat : l’identifiant de visite web du navigateur et le véritable compte utilisateur Facebook/Instagram sont mappés en 1:1 entre activité web et identité réelle, puis fortement liés

Pourquoi le problème est grave

  • Écoute de ports locaux et communication inter-apps dissimulée, interdites par la conception même d’Android, contournées par une méthode détournée
  • Même si l’utilisateur n’ouvre pas l’application, n’est pas connecté dans le navigateur ou utilise un VPN, le mode privé ou la suppression des cookies, ces défenses ne servent à rien
  • Collecte et rapprochement des informations sans consentement préalable clair et suffisant, pourtant requis par les règles de protection des données comme le RGPD
  • 22 % des principaux sites mondiaux seraient concernés, avec un suivi sans consentement de milliards de personnes pendant 9 mois (Meta) ou 8 ans (Yandex)
  • Données collectées et combinées : historique complet de navigation, panier et achats, saisies dans les formulaires web, comportements selon l’heure, liaison avec un compte sous nom réel, etc.
  • Exceptions limitées à iOS, au PC, à l’absence d’application installée et aux navigateurs Brave/DuckDuckGo

Principales violations juridiques

  • RGPD : consentement nécessaire pour le traitement de données personnelles à des fins publicitaires, violation du principe de minimisation des données et des obligations de protection de la vie privée dès la conception (jusqu’à 4 % du chiffre d’affaires)
  • DSA (article 26) : interdiction de la publicité ciblée fondée sur des informations sensibles d’un profil (orientation, opinions politiques, santé, etc.) (jusqu’à 10 % du chiffre d’affaires)
  • DMA (article 5.2) : interdiction de combiner des données personnelles entre plateformes essentielles sans consentement explicite (jusqu’à 10 %, 20 % en cas de récidive)
    • Au moins trois consentements distincts sont nécessaires pour la liaison des comptes (RGPD, ePrivacy, DMA), mais un seul serait demandé (alternative forcée de type « Pay or OK »)
    • Il existe déjà un précédent avec une amende de 200 millions d’euros infligée en avril 2025 pour violation du DMA

Prévisions sur les amendes et sanctions

  • Le RGPD, le DMA et le DSA protègent des intérêts juridiques distincts et prévoient des régimes de sanctions séparés, ce qui pourrait permettre un calcul cumulé des amendes
  • L’amende théorique maximale atteint 32 milliards d’euros. Compte tenu des violations répétées de Meta, de sa coopération réglementaire insuffisante, de sa position dominante et des indices de contournement intentionnel, une sanction exemplaire sans précédent paraît envisageable

Conclusion

  • La méthode de « localhost tracking » de Meta constitue un cas emblématique de contournement malveillant des normes techniques et juridiques de protection de la vie privée, avec une portée mondiale extrêmement large et une grande gravité.
  • Compte tenu des violations multiples du RGPD, du DSA et du DMA, ainsi que de la position dominante de Meta et de ses antécédents de récidive, une amende cumulée d’un niveau historique pourrait réellement être prononcée
  • L’attention mondiale se concentre désormais sur la question de savoir si les autorités de régulation imposeront pour la première fois une amende cumulée RGPD + DSA + DMA (jusqu’à 32 milliards d’euros)

À lire aussi

5 commentaires

 
luiseok 2025-06-11

Je me demande bien comment ils comptent faire assumer leurs responsabilités aux cadres dirigeants qui ont donné leur feu vert en interne.
 
kimjoin2 2025-06-11

Je me demande si iOS est sûr...
 
brainer 2025-06-11

Q : iOS et les autres plateformes sont-ils aussi concernés ?
R : jusqu’à présent, cela n’a été constaté que sur Android ; techniquement, iOS, les ordinateurs de bureau, les smart TV, etc. présentent aussi un risque potentiel.
 
GN⁺ 2025-06-11
Avis sur Hacker News

  • Partage d’un recueil de liens rassemblant des sujets déjà discutés sur le suivi web-vers-app et les problèmes de confidentialité liés à Meta et Yandex. Sont notamment mentionnés : les conseils confidentialité du Washington Post (cesser d’utiliser Chrome, supprimer les apps Meta et Yandex), le suivi discret des utilisateurs Android par Meta via Instagram et Facebook, l’arrêt sur Android des techniques de suivi via ports mobiles après la protestation de chercheurs, ou encore les fuites de données de suivi via WebRTC chez Yandex et Meta

  • Souvenir de l’épisode de 2014 où l’app Twitter sur Android a commencé à envoyer aux serveurs de Twitter la liste complète des apps installées sur son appareil. Depuis, il privilégie systématiquement la version web plutôt que les apps natives dès qu’un service est utilisable dans le navigateur. Il n’utilise ni Facebook ni Instagram, donc ne sait pas comment cela fonctionne aujourd’hui. Il a aussi vécu à l’époque les limitations délibérées de Facebook Messenger dans le navigateur. Ces dix dernières années, les apps natives ont demandé quantité d’autorisations, et les utilisateurs ont cliqué pour accepter sans trop y penser. Pourquoi Facebook devrait-il pouvoir voir les informations de son Wi‑Fi ou de son Bluetooth ? Il existe aussi des cas de suivi des personnes en magasin physique via des balises https://en.wikipedia.org/wiki/Facebook_Bluetooth_Beacon . Ce qui est regrettable, c’est que les apps natives sont bien plus agréables et performantes que les web apps

    • Retour d’expérience sur Facebook Messenger rendu volontairement pénible dans le navigateur. Utilisation aussi de Messenger Lite, avant sa fermeture. Il doit continuer à utiliser Facebook pour les événements ou les contacts, mais refuse absolument d’installer l’app Messenger, et se retrouve donc à l’utiliser de force en mode bureau, au prix d’une vraie gêne. Le fil est maintenant rempli de « recommandé pour vous », donc ce n’est plus addictif comme avant. Il ne comprend pas pourquoi le service semble vouloir chasser ses utilisateurs, mais c’est clairement l’impression que cela donne

    • Il est mentionné que, ces dernières années, les web apps elles-mêmes ont été trop fortement entravées. La moitié du temps, on subit des pop-ups « installez l’app », et l’autre moitié, cela ne fonctionne tout simplement pas. Plus décevant encore, la plupart des apps natives actuelles sont en pratique des WebView, et n’utilisent même pas d’UI native. Si c’est en réalité l’équivalent de Safari, alors autant laisser utiliser Safari directement

    • À l’époque, cela paraissait excessif, mais il s’est obstiné à n’utiliser que la version navigateur, et ne le regrette toujours pas. Cela lui a aussi permis d’échapper aux distractions comme les notifications. Si Apple ou Google prenaient vraiment la vie privée au sérieux, les choses auraient été différentes. Si une app n’est pas sur F-Droid, il attend simplement

    • Ce type de suivi applicatif est encore parfaitement légal aujourd’hui. Toutes les apps peuvent inspecter « pour des raisons de sécurité » la liste des apps installées et des apps récemment lancées. Même chose pour les contacts. WhatsApp, le seul produit Meta qu’il utilise parmi ceux qu’il administre, vérifie les informations de contacts à intervalles très courts et, si un changement est détecté, n’envoie au serveur que le delta. Le vrai cœur de la controverse ici, c’est que Meta a contourné sur le web l’appariement des utilisateurs sans payer Google pour le « cookie matching »

  • Il reste des traces de ce système : des ingénieurs Meta ont fait des commits de code, et des product managers ont traité des demandes via tickets. L’idée avancée est qu’il faudrait engager aussi leur responsabilité personnelle, par exemple d’une manière proportionnelle à leur salaire, comme Facebook reçoit des amendes proportionnelles à son chiffre d’affaires

    • Il est souligné qu’en réalité, les véritables responsables sont les managers qui ont autorisé ce système

    • Accord avec l’idée de responsabilité, mais pas avec une approche où seuls les employés de base paieraient pendant que la hiérarchie serait épargnée. La responsabilité doit remonter jusqu’en haut

    • Cela rappelle une citation célèbre de C. S. Lewis : « Le pire du mal est planifié par des hommes en costume dans des bureaux propres et silencieux », avec Meta prise comme exemple moderne d’une grande entreprise de ce type

    • Il est admis que c’est clairement problématique sur le plan éthique, mais certains ingénieurs construiraient n’importe quoi du moment qu’ils sont payés. Si eux ne le font pas, quelqu’un d’autre le fera, et cela peut aussi les intéresser comme défi technique. Au final, la responsabilité doit retomber sur les managers et ceux qui financent l’ensemble, autrement dit les gens comme Zuck qui captent l’argent et les bénéfices ; il faut suivre les flux d’argent

    • Question soulevée : l’UE peut-elle réellement infliger une amende à un ingénieur américain vivant aux États-Unis ?

  • Avec Meta, ce genre de pratique n’a rien de surprenant. Au début des années 2010, l’entreprise surveillait déjà le trafic HTTPS de l’App Store iOS pour repérer à l’avance les apps populaires, ce qui aurait aidé à décider des acquisitions de WhatsApp ou Instagram. Dans la situation actuelle, le pari de Zuckerberg semble être que Meta survive jusqu’à l’arrivée de la prochaine plateforme, AR ou VR. Si Meta contrôle cette nouvelle plateforme, il n’aura plus besoin de respecter des règles raisonnables et pourra étendre librement les tentacules Internet de sa machine publicitaire. Ce n’est pas souhaitable, mais il paraît plausible qu’ils y parviennent

    • Les entreprises veulent très fort faire d’AR/VR la prochaine plateforme, mais en dehors d’une minorité de fans de jeux vidéo, on doute que le grand public en ait réellement envie. Certains restent sceptiques et pensent que cela n’aura guère plus de longévité que les lunettes 3D au cinéma

    • Lors de l’affaire de surveillance des apps iOS, l’utilisateur devait lui-même installer un VPN distribué via certificat d’entreprise, donc hors App Store. Il fallait passer plusieurs avertissements inquiétants d’iOS, mais une simple petite carte-cadeau suffisait malgré tout à convaincre beaucoup de gens de participer

    • Si Meta a pu recommencer ce genre de choses, c’est aussi parce que les sanctions passées n’ont pas été suffisantes pour dissuader un récidiviste

    • La plateforme VR Quest de Meta s’est vendue à environ 20 millions d’unités au total, ce qui reste très insuffisant pour une entreprise qui a besoin d’une base d’utilisateurs de la taille de Facebook. Même un produit relativement réussi comme le Quest 2 (14 millions d’unités) est arrêté depuis 9 mois. On est loin d’une croissance explosive

  • L’idée est avancée que l’ingénieur ayant implémenté ce système est peut-être l’un d’entre nous sur Hacker News. Ce n’est probablement pas Zuck qui l’a codé lui-même

    • Sur Hacker News, quand on demande aux ingénieurs de réfléchir à l’éthique de ce qu’ils font, on entend souvent en réponse : « Je veux juste construire de la technologie cool, ce que l’entreprise en fait ne me regarde pas. » Il existe aussi une attitude cynique du type : « Je ne suis qu’un code monkey ; si mon manager me demande de construire le Torment Nexus, je le fais »

    • Blague selon laquelle si Meta a besoin d’IA pour mettre cela en place, c’est parce que l’IA, elle, ne refuse pas

  • Deux problèmes sont identifiés. D’abord, sur Android, une app peut ouvrir un port sans permission distincte, et les apps peuvent aussi communiquer entre elles sans permission particulière. Ensuite, le navigateur autorise l’accès à des services localhost sur n’importe quel domaine. Il y a déjà eu par le passé des problèmes de sécurité liés à l’accès à des services de développement exposés sur localhost. Quelque chose semble devoir être amélioré

    • En affinant, on distingue deux points techniques : d’abord, une app arbitraire peut écouter sur un port sans permission dédiée ; ensuite, une app arbitraire peut accéder à des ports locaux sans permission dédiée. Pour cette raison, certains ont expérimenté sur desktop en enfermant le navigateur dans un namespace réseau. Un site web ne devrait pas pouvoir accéder librement aux services localhost de l’utilisateur

    • Oui, il y a bien deux problèmes techniques, mais cela ne change rien au fait que Facebook ne devrait pas faire ce genre de choses

    • Pour qu’une app Android ouvre un port, il faut la permission android.permission.INTERNET. Elle est généralement accordée automatiquement à l’installation, même si certaines variantes comme GrapheneOS permettent de la bloquer séparément. À ce jour, il ne semble pas exister de contrôle fin du type « autoriser uniquement les communications internes »

    • Il existe aussi une proposition visant à empêcher qu’un site accède au réseau local de l’utilisateur sans autorisation explicite https://github.com/explainers-by-googlers/local-network-access

  • Si l’app Facebook ou Instagram est installée sur un téléphone Android, que l’utilisateur est connecté à son compte, et qu’il n’a pas configuré de blocage spécifique contre des éléments comme les pixels de tracking, il peut être concerné par cette affaire. Le fait que cela contourne un VPN ou le mode privé semble particulièrement grave. Beaucoup croient être totalement protégés avec ces modes, alors qu’en réalité ils donnent surtout l’illusion d’une nouvelle session ou d’une autre localisation

    • Du point de vue d’un utilisateur lambda, on pourrait penser qu’un VPN et la navigation privée suffisent largement. Que le navigateur communique en secret avec les apps du téléphone pour rattacher toutes les actions au compte de l’utilisateur, c’est aller beaucoup trop loin

    • Le suivi pourrait être encore aggravé lorsque l’app Facebook ou Instagram tourne réellement en arrière-plan. Certains détestent tellement les apps actives en arrière-plan qu’ils les ferment systématiquement dès qu’ils ont fini de les utiliser

  • Il est avancé que le vrai problème est WebRTC. WebRTC devrait être désactivé par défaut, ou au minimum caché derrière une boîte de dialogue d’autorisation. Bien sûr, Facebook invoquerait le chat ou d’autres fonctions pour exiger son activation, et au final 99 % des utilisateurs accepteraient

  • On ne comprend pas pourquoi Meta avait besoin d’aller aussi loin. Il existe déjà des techniques de suivi comme le fingerprinting, donc cela ne semblait pas nécessaire de prendre autant de risques. Peut-être que cette méthode servait de groupe de test pour vérifier l’efficacité d’autres techniques de suivi, ou bien de solution de rechange immédiate si l’une des méthodes était découverte ou corrigée. Continuer à utiliser une approche aussi manifestement exposée paraît vraiment stupide

    • Ce comportement s’expliquerait par le fait que l’entreprise fonctionne avec une mentalité de sociopathe : quand on lui dit « non », elle y voit un défi, et cherche à réussir sans se faire prendre

  • Il est mentionné que la phrase « Le script Meta Pixel envoie le cookie _fbp à l’app native Instagram ou Facebook via WebRTC (STUN) SDP Munging » décrit un hack absolument délirant

    • On se demande comment une telle approche a pu être approuvée