Meta : une surveillance invisible au cœur d’Android
Le 3 juin 2025, plusieurs groupes de chercheurs issus de l’université Radboud, de l’institut IMDEA Networks et de l’université KU Leuven ont levé le voile sur une pratique inquiétante : Meta — maison-mère de Facebook, Instagram et WhatsApp — exploitait une faille technique dans le système Android pour espionner, sans autorisation, les activités web de ses utilisateurs.
Le procédé était aussi habile qu’effrayant. Grâce à des scripts publicitaires tels que Meta Pixel, intégrés sur des millions de sites, et à une interaction détournée entre ces scripts et les applications installées, Meta était capable d’intercepter votre navigation web sur Android, même en mode incognito ou sous VPN. Le trafic était discrètement redirigé vers un port local — « localhost » — situé sur votre appareil. Résultat : chaque lien cliqué, chaque page visitée, chaque requête tapée dans votre navigateur pouvait être associée à votre profil Facebook ou Instagram.
Cette collecte d’informations sur Android passait par l’adresse IP locale 127.0.0.1, exploitant une fonction du protocole WebRTC. Les applications Meta interagissaient ainsi directement avec des scripts tiers via les navigateurs Chrome, Edge et même Firefox, pourtant réputé plus respectueux de la vie privée. Brave, lui, avait fermé cette brèche dès 2022. DuckDuckGo également.
Apple épargné : pourquoi iOS ne serait pas concerné par cette faille
Les utilisateurs d’iPhone peuvent, semble-t-il, souffler. Le système iOS, mieux cloisonné, n’a pas permis à Meta de mettre en œuvre la même stratégie de pistage. Les limitations imposées par Apple à l’accès aux ports locaux et au fonctionnement des scripts tiers ont empêché Meta d’appliquer sa méthode d’interception. Toutefois, les chercheurs n’excluent pas que le même type d’attaque puisse, en théorie, être reproduit ailleurs si les protections venaient à évoluer.
Cela ne signifie pas qu’Apple est irréprochable — mais dans ce cas précis, les utilisateurs d’iOS ont échappé à l’espionnage silencieux orchestré sur Android. Une disparité qui rappelle que la sécurité numérique n’est jamais équitable selon l’écosystème que l’on choisit.
Une collecte systématique en violation des politiques de Google
Le plus choquant dans cette affaire ? L’étendue de la collecte. Meta a utilisé cette technique de pistage à partir de septembre 2024. Près de 20 % des sites les plus fréquentés intégreraient le fameux « Meta Pixel », soit autant de portes d’entrée invisibles vers vos données. Le mécanisme fonctionnait même lorsque l’utilisateur pensait être protégé par le mode incognito ou un VPN.
Meta a reconnu les faits. Elle a affirmé avoir suspendu l’usage du code incriminé le jour même de la publication du rapport, en attendant des clarifications sur la conformité de ces pratiques avec les règles du Google Play Store. Mais selon les chercheurs, cette « suspension temporaire » n’équivaut à aucun engagement ferme sur la suppression des données collectées ni sur une transparence future.
Google, de son côté, a réagi en condamnant l’abus. L’entreprise a lancé une enquête et mis en place des correctifs sur Chrome et Android. Mais ces ajustements techniques ne règlent pas la question centrale : comment un tel détournement a-t-il pu passer sous les radars pendant près de neuf mois ?
Yandex, la Russie en embuscade sur la même faille
Meta n’est pas seule en cause. Le moteur de recherche russe Yandex utilisait une méthode similaire depuis 2017. Yandex Metrica, équivalent du Meta Pixel, recueillait des données de navigation via le même type de ports locaux. Si Yandex affirme ne pas exploiter ces informations à des fins publicitaires intrusives, la coïncidence technique n’a rien d’anodin. Et l’absence de consentement explicite sur les sites concernés constitue une probable violation du Règlement général sur la protection des données (RGPD) européen.
L’affaire actuelle s’inscrit dans une longue série d’abus. Le scandale Cambridge Analytica en 2018 ? Toujours vivace dans les esprits. Depuis, Meta a multiplié les promesses de transparence. Mais la pratique raconte une toute autre histoire. Cette société continue d’exploiter les moindres failles techniques pour contourner les règles de protection des données. L’usage de cookies tiers, d’identifiants publicitaires ou encore de scripts cachés dans les applications semble relever d’une stratégie globale de captation silencieuse de l’activité numérique. Le RGPD, pourtant strict, peine à s’imposer face à des techniques aussi opaques.
Que faire ? Conseils pour les utilisateurs Android
La responsabilité des géants est écrasante. Mais les utilisateurs ne sont pas totalement démunis. Les experts recommandent :
- d’éviter les navigateurs vulnérables tels que Chrome ou Edge en environnement Android,
- de privilégier des navigateurs orientés vie privée comme Brave ou DuckDuckGo,
- de désinstaller les applications non essentielles et de bloquer les permissions réseau inutiles,
- et, surtout, de ne jamais sous-estimer la capacité d’une application à écouter ce que vous ne dites pas.
