Last Updated:

Facebook paie des adolescents pour installer un VPN qui les espionne

Pierre
Pierre Facebook

Désireuse d'obtenir des données sur ses concurrents, Facebook a secrètement payé des gens pour installer un VPN "Facebook Research" qui permet à l'entreprise d'aspirer toute l'activité téléphonique et web d'un utilisateur, comme l'application Onavo Protect de Facebook que Apple a interdite en juin et qui a disparu en août. Facebook esquive l'App Store et récompense les adolescents et les adultes pour télécharger l'application de recherche et lui donner un accès root au trafic réseau dans ce qui peut être une violation de la politique Apple afin que le réseau social puisse décrypter et analyser leur activité téléphonique, confirme une enquête TechCrunch.

Facebook a admis à TechCrunch qu'il dirigeait le programme de recherche pour recueillir des données sur les habitudes d'utilisation.

Depuis 2016, Facebook paie aux utilisateurs âgés de 13 à 35 ans jusqu'à 20 $ par mois plus les frais de recommandation pour vendre leur vie privée en installant l'application iOS ou Android "Facebook Research". Facebook a même demandé aux utilisateurs de faire une capture d'écran de leur page d'historique de commande Amazon. Le programme est administré par le biais de services de test bêta Applause, BetaBound et uTest pour masquer l'implication de Facebook, et est désigné dans certains documents sous le nom de "Project Atlas" - un nom approprié pour les efforts de Facebook pour cartographier les nouvelles tendances et ses rivaux dans le monde.

Sept heures après la publication de cet article, Facebook a déclaré à TechCrunch qu'il mettrait fin à la version iOS de son application Research à la suite de notre rapport. Mais mercredi matin suivant, un porte-parole d'Apple a confirmé que Facebook avait violé ses politiques et qu'il avait bloqué l'application de recherche de Facebook mardi avant que le réseau social ne semble l'avoir retirée volontairement (sans mentionner qu'il avait était obligé de le faire).

Un porte-parole d'Apple a fait cette déclaration. "Nous avons conçu notre Enterprise Developer Program uniquement pour la distribution interne d'applications au sein d'une organisation. Facebook a utilisé son adhésion pour distribuer une application de collecte de données aux consommateurs, ce qui constitue une violation flagrante de son accord avec Apple. Tout développeur qui utilise ses certificats d'entreprise pour distribuer des applications aux consommateurs verra ses certificats révoqués, ce que nous avons fait dans ce cas pour protéger nos utilisateurs et leurs données."

Le programme de recherche de Facebook continuera à fonctionner sur Android bien que Facebook ait depuis retiré Onavo du magasin Google Play et le fermera éventuellement. Facebook cessera également de recruter des utilisateurs pour la version Android de son application Research, bien qu'elle envisage d'autres initiatives de recherche payante.

Nous avons demandé à Will Strafach, expert en sécurité de Guardian Mobile Firewall, de Guardian Mobile Firewall, de fouiller dans l'application de recherche Facebook, et il nous a dit que " si Facebook utilise pleinement le niveau d'accès qui lui est accordé en demandant aux utilisateurs d'installer le certificat, ils auront la possibilité de collecter continuellement les types de données suivants : les messages privés dans les applications de médias sociaux, les chats depuis les applications de messagerie instantanée - y compris les photos/vidéos envoyées à d'autres, les courriels, les recherches sur le Web, les activités de navigation sur le Web et même les informations de localisation en cours en puisant dans les flux des applications de suivi de localisation que vous avez pu installer.”” On ne sait pas exactement de quelles données Facebook s'occupe, mais il obtient un accès presque illimité à l'appareil d'un utilisateur une fois qu'il a installé l'application.

 

La stratégie montre jusqu'où Facebook est prêt à aller et combien il est prêt à payer pour protéger sa position dominante - même au risque d'enfreindre les règles de la plateforme iOS d'Apple dont il dépend. Apple a peut-être demandé à Facebook de cesser de distribuer son application Research.

Une punition plus sévère serait de révoquer la permission de Facebook d'offrir des applications réservées aux employés. La situation pourrait refroidir davantage les relations entre les géants de la technologie. Tim Cook d'Apple a critiqué à plusieurs reprises les pratiques de Facebook en matière de collecte de données. Le fait de désobéir aux politiques de l'iOS sur Facebook pour obtenir plus d'informations pourrait devenir un nouveau sujet de discussion.

"L'étape d'installation du certificat racine est épouvantable ", nous dit Strafach. "Cela permet à Facebook d'accéder en permanence aux données les plus sensibles vous concernant et la plupart des utilisateurs ne seront pas en mesure d'y consentir raisonnablement, quel que soit l'accord qu'ils signent, car il n'existe aucun moyen efficace d'exprimer clairement le pouvoir qui leur est accordé par Facebook.

L'application de surveillance Facebook

Facebook s'est lancé pour la première fois dans le domaine du data mining lorsqu'il a acquis Onavo pour environ 120 millions de dollars en 2014. L'application VPN a aidé les utilisateurs à suivre et à minimiser l'utilisation de leur plan de données mobiles, mais a également permis à Facebook d'analyser en profondeur les autres applications qu'ils utilisaient. Des documents internes acquis par Charlie Warzel et Ryan Mac de BuzzFeed News révèlent que Facebook a pu utiliser Onavo pour apprendre que WhatsApp envoyait plus de deux fois plus de messages par jour que Facebook Messenger. Onavo a permis à Facebook d'observer l'ascension fulgurante de WhatsApp et de justifier le paiement de 19 milliards de dollars pour acheter le lancement du chat en 2014. WhatsApp a depuis triplé sa base d'utilisateurs, démontrant la puissance de la prévoyance d'Onavo.

Au cours des années qui ont suivi, Onavo a mis Facebook au courant des applications à copier, des fonctionnalités à construire et des flops à éviter. En 2018, Facebook faisait la promotion de l'application Onavo dans un signet Protect de l'application Facebook principale dans l'espoir d'obtenir plus d'utilisateurs à fouiner. Facebook a également lancé l'application Onavo Bolt qui vous permet de verrouiller les applications derrière un mot de passe ou une empreinte digitale pendant qu'elle vous surveille, mais Facebook a fermé l'application le jour où elle a été découverte à la suite de critiques sur la confidentialité. L'application principale d'Onavo reste disponible sur Google Play et a été installée plus de 10 millions de fois.

Le tollé s'est amplifié après que l'expert en sécurité Strafach eut expliqué en mars comment Onavo Protect rendait compte à Facebook quand l'écran d'un utilisateur était allumé ou éteint, et son utilisation de données Wi-Fi et cellulaire en octets même lorsque le VPN était éteint. En juin, Apple a mis à jour ses politiques de développement pour interdire la collecte de données sur l'utilisation d'autres applications ou de données qui ne sont pas nécessaires pour qu'une application fonctionne. Apple a informé Facebook en août qu'Onavo Protect avait violé ces politiques de collecte de données et que le réseau social avait besoin de le supprimer de l'App Store, ce qu'il a fait, a rapporté Deepa Seetharaman du WSJ.

Mais cela n'a pas empêché la collecte de données par Facebook.

TechCrunch a récemment reçu un tuyau selon lequel malgré le bannissement d'Onavo Protect par Apple, Facebook payait les utilisateurs pour mettre de côté une application VPN similaire sous le nom de Facebook Research qui ne figurait pas dans l'App Store. TechCrunch a enquêté et a appris que Facebook travaillait avec trois services de beta test d'applications pour distribuer l'application Facebook Research : BetaBound, uTest et Applaudissements. Facebook a commencé à distribuer l'application Research VPN en 2016. Il a été désigné sous le nom de projet Atlas depuis au moins mi-2018, à la mi-2018, époque où le tollé à Onavo Protect a fait des vagues et Apple a institué ses nouvelles règles qui interdisent Onavo. Auparavant, un programme similaire s'appelait Projet Kodiak. Facebook ne voulait pas cesser de recueillir des données sur l'utilisation du téléphone des gens et le programme de recherche a donc continué, au mépris de l'interdiction d'Apple d'Onavo Protect.

Les publicités pour le programme géré par uTest sur Instagram et Snapchat cherchaient des adolescents de 13 à 17 ans pour une "étude rémunérée sur les médias sociaux". La page d'inscription au programme de recherche Facebook administré par Applause ne mentionne pas Facebook, mais cherche les utilisateurs "Age : 13-35 ans (consentement parental requis pour les 13-17 ans)". Si des mineurs tentent de s'inscrire, on leur demande d'obtenir la permission de leurs parents au moyen d'un formulaire qui révèle l'implication de Facebook et qui dit "Il n'y a aucun risque connu associé au projet, mais vous reconnaissez que la nature même du projet implique le suivi des renseignements personnels par l'utilisation des applications par votre enfant. Vous serez récompensé par Applause pour la participation de votre enfant." Pour les enfants à court d'argent, les paiements pourraient les contraindre à vendre leur vie privée à Facebook.

Le site Applause explique quelles données pourraient être recueillies par l'application Facebook Research :

En installant le logiciel, vous donnez à notre client la permission de recueillir des données à partir de votre téléphone qui l'aideront à comprendre comment vous naviguez sur Internet et comment vous utilisez les fonctions des applications que vous avez installées. Cela signifie que vous laissez notre client collecter des informations telles que les applications qui se trouvent sur votre téléphone, comment et quand vous les utilisez, les données sur vos activités et le contenu de ces applications, ainsi que la façon dont les autres personnes interagissent avec vous ou votre contenu dans ces applications. Vous laissez également notre client recueillir des informations sur votre activité de navigation sur Internet (y compris les sites Web que vous visitez et les données qui sont échangées entre votre appareil et ces sites Web) et sur votre utilisation d'autres services en ligne. Dans certains cas, notre client collectera ces informations même lorsque l'application utilise le cryptage ou à partir de sessions de navigation sécurisées.


Pendant ce temps, la page d'inscription BetaBound avec une URL se terminant par "Atlas" explique que "Pour 20 $ par mois (via des cartes-cadeaux électroniques), vous installerez une application sur votre téléphone et la laisserez tourner en arrière-plan". Il offre également 20 $ par ami que vous recommandez. Ce site ne mentionne pas non plus initialement Facebook, mais le mode d'emploi pour l'installation de Facebook Research révèle l'implication de l'entreprise.

Facebook semble avoir délibérément évité TestFlight, le système officiel de bêta test d'Apple, qui exige que les applications soient évaluées par Apple et qui est limité à 10 000 participants. Au lieu de cela, le manuel d'instructions révèle que les utilisateurs téléchargent l'application à partir de r.facebook-program.com et sont invités à installer un certificat de développeur d'entreprise, un VPN et un Facebook "Trust" avec accès root aux données que leur téléphone transmet. Apple exige que les développeurs acceptent d'utiliser ce système de certificat uniquement pour distribuer les applications internes de l'entreprise à leurs propres employés. Le recrutement aléatoire de testeurs et le paiement d'une redevance mensuelle semblent aller à l'encontre de l'esprit de cette règle.

Une fois installé, les utilisateurs n'avaient plus qu'à laisser le VPN fonctionner et à envoyer les données à Facebook pour être payés. Le programme administré par Applause a demandé aux utilisateurs de faire une capture d'écran de leur page de commandes Amazon. Ces données pourraient potentiellement aider Facebook à lier les habitudes de navigation et l'utilisation d'autres applications avec les préférences d'achat et le comportement. Cette information pourrait être exploitée pour cibler le ciblage publicitaire et comprendre quels types d'utilisateurs achètent quoi.

TechCrunch a chargé Strafach d'analyser l'application Facebook Research et de découvrir où elle envoyait les données. Il a confirmé que les données sont routées vers "vpn-sjc1.v.facebook-program.com" qui est associé à l'adresse IP d'Onavo, et que le domaine facebook-program.com est enregistré sur Facebook, selon MarkMonitor. L'application peut se mettre à jour d'elle-même sans interagir avec l'App Store, et est liée à l'adresse électronique PeopleJourney@fb.com. Il a également découvert que le certificat d'entreprise acquis pour la première fois en 2016 indique que Facebook l'a renouvelé le 27 juin 2018, quelques semaines après l'annonce par Apple de ses nouvelles règles qui interdisent l'application similaire Onavo Protect.

Il est difficile de savoir quelles données Facebook enregistre réellement (sans accès à ses serveurs). La seule information que l'on peut connaître ici est ce que l'accès à Facebook est capable de faire en fonction du code de l'application. Et cela donne une image très inquiétante ", explique M. Strafach. "Ils pourraient répondre et prétendre ne conserver/enregistrer que des données très précises et limitées, et cela pourrait être vrai, cela se résume vraiment à la confiance que vous accordez à la parole de Facebook à ce sujet. Le récit le plus charitable de cette situation serait que Facebook n'a pas trop réfléchi au niveau d'accès qu'il s'accorde à lui-même... ce qui est un niveau étonnant d'incurie en soi si c'est le cas.

Par ailleurs, TechCrunch a également constaté que l'application de surveillance de Google Screenwise Meter enfreint également la politique de certificat d'entreprise, bien qu'elle révèle mieux l'implication de l'entreprise et son fonctionnement que Facebook.

Violation flagrante des règles d'Apple

En réponse à la demande de TechCrunch, un porte-parole de Facebook a confirmé que le programme est en cours d'exécution pour apprendre comment les gens utilisent leurs téléphones et autres services. Le porte-parole nous a dit : " Comme beaucoup d'entreprises, nous invitons les gens à participer à des recherches qui nous aident à identifier ce que nous pouvons améliorer. Comme cette recherche vise à aider Facebook à comprendre comment les gens utilisent leurs appareils mobiles, nous avons fourni de nombreuses informations sur le type de données que nous recueillons et comment ils peuvent participer. Nous ne partageons pas ces informations avec d'autres et les gens peuvent arrêter de participer à tout moment."

Le porte-parole de Facebook a affirmé que l'application de recherche Facebook était conforme au programme de certificat d'entreprise d'Apple, mais n'a pas expliqué comment face à la preuve du contraire. Ils ont dit que Facebook a lancé son premier programme d'application de recherche en 2016. Ils ont essayé de rapprocher le programme à un groupe de discussion et ont dit que Nielsen et comScore exécutent des programmes similaires, mais aucun d'eux ne demande aux gens d'installer un VPN ou de fournir un accès root au réseau. Le porte-parole a confirmé que le programme de recherche Facebook recrute des adolescents, mais aussi d'autres groupes d'âge dans le monde entier. Ils ont affirmé qu'Onavo et Facebook Research sont des programmes distincts, mais ont admis que la même équipe soutient les deux pour expliquer pourquoi leur code était si similaire.

Toutefois, l'affirmation de Facebook selon laquelle elle ne viole pas la politique de certificat d'entreprise d'Apple est directement contredite par les termes de cette politique. Il s'agit notamment de ce que les développeurs "Distribuent les profils de provisionnement uniquement à vos employés et uniquement en conjonction avec vos applications à usage interne dans le but de développer et de tester". La politique stipule également que " Vous ne pouvez pas utiliser, distribuer ou rendre vos applications à usage interne disponibles à vos clients ", sauf sous la supervision directe de vos employés ou dans les locaux de l'entreprise. Étant donné que les clients de Facebook utilisent l'application à certificat d'entreprise sans supervision, il semble que Facebook soit en violation.

Sept heures après la première publication de ce rapport, Facebook a mis à jour sa position et a dit à TechCrunch qu'il allait fermer l'application iOS Research. Facebook a noté que l'application Research a été lancée en 2016 et ne remplaçait donc pas Onavo Protect. Cependant, ils partagent un code similaire et pourraient être considérés comme des jumeaux fonctionnant en parallèle. Un porte-parole de Facebook a également fourni cette déclaration supplémentaire :

Les faits clés de ce programme d'étude de marché sont ignorés. Malgré les premiers rapports, il n'y avait rien de " secret " à ce sujet ; on l'appelait littéralement l'application de recherche Facebook. Ce n'était pas de l'" espionnage ", car toutes les personnes qui se sont inscrites pour participer ont suivi un processus d'intégration clair pour obtenir leur permission et ont été payées pour participer. Enfin, moins de 5 % des personnes qui ont choisi de participer à ce programme d'étude de marché étaient des adolescents. Tous avec des formulaires de consentement parental signés.

Facebook n'a pas fait la promotion publique du VPN de recherche lui-même et a eu recours à des intermédiaires qui, souvent, n'ont pas divulgué la participation de Facebook avant que les utilisateurs n'aient commencé le processus d'inscription. Bien que les utilisateurs aient reçu des instructions et des avertissements clairs, le programme ne souligne ni ne mentionne jamais l'étendue des données que Facebook peut recueillir grâce au VPN, ni l'ensemble de celles-ci. Une petite fraction des utilisateurs rémunérés étaient peut-être des adolescents, mais nous maintenons le fait que la décision de ne pas exclure les mineurs de cette initiative de collecte de données méritait d'être soulignée.

La désobéissance si directe à Apple par Facebook et le fait de retirer l'application pourraient nuire à leur relation. "Le code de cette application iOS indique clairement qu'il s'agit simplement d'une version mal rebaptisée de l'application Onavo bannie, utilisant désormais un certificat d'entreprise appartenant à Facebook en violation directe des règles d'Apple, permettant à Facebook de distribuer cette application sans avis Apple à autant d'utilisateurs qu'il le souhaite ", nous dit Strafach. Les préfixes ONV et les mentions de graph.onavo.com, "onavoApp:///" et "onavoProtect:///" des schémas URL personnalisés jonchent l'application. "C'est une violation flagrante sur plusieurs fronts, et j'espère qu'Apple agira rapidement en révoquant le certificat de signature pour rendre l'application inopérable."

Facebook s'intéresse particulièrement à ce que font les adolescents sur leur téléphone, car la démographie abandonne de plus en plus le réseau social en faveur de Snapchat, YouTube et l'acquisition d'Instagram par Facebook. Un aperçu de la popularité auprès des adolescents de l'application de musique vidéo chinoise TikTok et du partage de memes a conduit Facebook à lancer un clone appelé Lasso et à commencer à développer une fonction de navigation de memes appelée LOL, a d'abord signalé TechCrunch. Mais le désir de Facebook d'obtenir des données sur les jeunes irrite les critiques à un moment où l'entreprise a été malmenée dans la presse. Les analystes qui participeront demain à la conférence téléphonique sur les bénéfices de Facebook devraient se renseigner sur les autres moyens dont dispose l'entreprise pour recueillir des renseignements sur la concurrence maintenant qu'elle a cessé d'exécuter le programme de recherche sur iOS.

L'année dernière, lorsqu'on a demandé à Tim Cook ce qu'il ferait dans la position de Mark Zuckerberg à la suite du scandale de Cambridge Analytica, il a répondu : "Je ne serais pas dans cette situation...". La vérité est que nous pourrions gagner une tonne d'argent si nous monétisons notre client, si notre client était notre produit. Nous avons choisi de ne pas le faire." Zuckerberg a dit à Ezra Klein que le commentaire de Cook était "extrêmement désinvolte".

Maintenant, il est clair que même après les avertissements d'Apple et la suppression d'Onavo Protect, Facebook continuait à collecter agressivement des données sur ses concurrents via la plate-forme iOS d'Apple. "Je n'ai jamais vu un développeur de l'App Store défier les règles d'Apple de manière aussi ouverte et flagrante ", conclut Strafach. Maintenant que Facebook a cessé le programme sur iOS et que son avenir sur Android est incertain, il se peut qu'il doive inventer de nouvelles façons de surveiller notre comportement dans un climat de surveillance de la vie privée, ou être laissé dans le noir.

 Source : https://techcrunch.com/2019/01/29/facebook-project-atlas/