‘Projet Ghostbusters’ ou comment Facebook aurait espionné les utilisateurs de Snapchat | Technologie

Un email de Mark Zuckerberg poussant à analyser le trafic crypté de Snapchat, des emails de hauts dirigeants de Facebook et les objections du responsable de la sécurité. Tout cela apparaît Dans les documents qui détaillent comment l’entreprise aurait utilisé des techniques de cyberespionnage pour suivre le comportement des utilisateurs dans son application rivale.

Les e-mails ont été rendus publics à la suite d’un procès intenté par un groupe d’annonceurs contre Meta. Ils accusent l’entreprise d’avoir tenté de monopoliser le marché publicitaire sur les réseaux sociaux entre 2016 et 2019. L’échange d’emails débute en juin 2016. A cette époque, Snapchat avait un élan. En bref, c’est devenu l’application la plus populaire. Au cours des six premiers mois de cette année est passé d’environ 110 millions d’utilisateurs à 148 millions. Pendant ce temps, Facebook perdait de sa vigueur face aux nouvelles générations et Instagram risquait de devenir une application de photographie. Jusqu’en août, elle a lancé ses Instagram Stories, une copie conforme des Snapchat Stories. Son bon accueil auprès des utilisateurs a renversé la situation.

C’est juste le contexte du marché. Ce que révèlent les documents, c’est la création d’un projet, baptisé IAAP et surnommé chasseurs de fantômes (« Ghostbusters ») en référence claire au logo Snapchat. L’objectif était d’analyser le trafic de cette application grâce à un kit intégré à l’application Facebook elle-même, que les utilisateurs installaient sur leurs appareils, et qui servait à collecter des informations sur leur activité numérique dans d’autres applications.

“Ce kit a donné à Facebook la possibilité que tout le trafic provenant de ces téléphones aboutisse sur un serveur contrôlé par Facebook”, explique Juan Tapiador, professeur au Département d’informatique de l’Université Carlos III et spécialiste de la cybersécurité. “En théorie, ils ont vérifié si le trafic provenait de Snapchat et, si c’était le cas, ils ont examiné une série d’analyses sur la manière dont les utilisateurs contrôlaient l’application.”

Les documents présentent un système de surveillance complexe qui utilise des techniques de cyberespionnage. Le projet s’appuyait sur la technologie d’Onavo, une application VPN (réseau privé virtuel) acquise par Facebook en 2013. Deepak Daswani, consultant en cybersécurité et le piratage, souligne que le trafic des utilisateurs aurait transité par des serveurs qui faisaient office d’intermédiaires. « Conceptuellement, il s’agirait d’une attaque de l’homme du milieu, car le service VPN est placé au milieu du trafic entre l’utilisateur et Snapchat. Et il peut déchiffrer une certaine quantité d’informations », dit-il.

Mission : intercepter et décrypter le trafic des utilisateurs

Les documents reconstituent comment Facebook aurait articulé son projet chasseurs de fantômes pour intercepter le trafic des utilisateurs de certains sites Web. Non seulement Snapchat, mais aussi le comportement des utilisateurs de YouTube et d’Amazon auraient été analysés. L’entreprise aurait proposé des incitations à certains utilisateurs pour qu’ils installent une application Facebook modifiée. Ceux-ci ont donné leur consentement pour que l’application collecte leurs données.

L’initiative s’appuie sur un email envoyé par Mark Zuckerberg, PDG de Facebook, le 9 juin 2016. Dans celui-ci, il faisait allusion au manque de données analytiques sur Snapchat car son trafic était crypté. « Compte tenu de la rapidité avec laquelle ils croissent, il semble important de réfléchir à une nouvelle manière d’obtenir des informations analytiques à leur sujet. Peut-être devons-nous créer des panneaux d’utilisateurs ou un logiciel spécifique au programme. Vous devez réfléchir à la manière de procéder », a écrit Zuckerberg dans un courriel adressé à trois cadres supérieurs.

Un échange d’e-mails évoque la difficulté d’obtenir la technologie nécessaire pour observer le trafic crypté de Snapchat. Et il y a des spéculations selon lesquelles cela pourrait nécessiter une « approbation légale ». Cependant, l’équipe Onavo VPN de Facebook s’est mise au travail et a proposé une solution que l’entreprise a déployée pendant trois ans, selon des documents publiés.

Il y a eu des objections aux plus hauts niveaux. La documentation cite Pedro Canahuati, qui était alors vice-président de l’ingénierie, de la sécurité et de la confidentialité : « Je ne vois aucun argument valable pour justifier que tout cela est acceptable. Personne travaillant dans le domaine de la cybersécurité ne se sentira jamais à l’aise avec cela, quel que soit le consentement du grand public. « Le grand public ne sait tout simplement pas comment cela fonctionne. »

Ce n’est bien sûr pas un schéma intuitif. Lors de la connexion à une page Web, celle-ci doit être signée par une autorité de certification à laquelle notre navigateur ou l’application que nous utilisons fait confiance. C’est le seul moyen pour un appareil de savoir qu’il se connecte au site authentique et qu’il n’y a pas d’usurpation d’identité. Cependant, le kit contenant l’application Facebook modifiée a faussé ce processus.

Tapidador nous éclaire sur le fonctionnement du processus. « Si vous vous connectez à une page Web et que cette page Web est signée par une « autorité de certification », vous lui faites automatiquement confiance. Et tu sais que tu te connectes à snapchat.com ou sur elpais.com. Lorsque vous avez installé l’application Facebook, ils ont installé un logiciel interne Autorité de certification propre de Facebook.

De cette façon, l’autorité de certification de Facebook a demandé à l’appareil de croire que l’utilisateur se connectait à Snapchat. Cependant, ce qui s’est passé, c’est que le trafic de l’utilisateur est d’abord allé vers les serveurs de Facebook, pour analyse.

Daswani souligne l’importance de la technologie VPN pour réaliser ce suivi des informations : « Facebook, s’il s’agit d’un fournisseur VPN, peut voir tout mon trafic qui passe par le VPN, mon trafic qui va vers Twitter, vers Facebook, vers WhatsApp et vers un autre fournisseur. . Avec cette application Onavo, ils ont accédé au trafic réseau et l’analysent.

Tout ce trafic était crypté. Autrement dit, un tiers extérieur à l’équation n’aurait pas pu simplement le lire. Mais Facebook n’était plus vraiment un tiers. Dans le chiffrement du trafic, les clés qui protègent les informations sont générées grâce à une collaboration entre les deux extrémités entre lesquelles les données transitent : l’application et le serveur de destination. Et ici, le serveur de destination était celui de Facebook, qui faisait partie du processus de génération de clés et, avec lui, pouvait décrypter le trafic.

Tapiador explique que le trafic ne provenait pas de l’utilisateur vers Snapchat. « Ce qui se passe, c’est qu’ils font alors ce qu’on appelle un Procuration transparent. Ils prennent le trafic, l’ouvrent, le regardent et, depuis ce serveur, ils se connectent à Snapchat en se faisant passer pour vous », explique-t-il. De cette façon, les utilisateurs peuvent voir le résultat de leur activité : s’ils touchent une image, elle s’ouvre, s’ils font défiler l’écran se déplace. “Mais au milieu, il y a quelqu’un qui a ouvert l’enveloppe, lu ce qu’elle contenait, l’a remise dans une autre enveloppe et l’a envoyée à destination.”

Dans une lettre envoyée au juge chargé de l’instruction de l’affaire, Meta – Facebook, en tant qu’entreprise, a changé de nom en 2021 – réfute que le logiciel mentionné dans les documents soit lié à un éventuel monopole. Il ne faut pas oublier que c’est l’objet du procès intenté. Il indique également que les utilisateurs de l’application Facebook modifiée (« Facebook Research App ») ont consenti à communiquer leurs données de navigation à l’entreprise. “Il n’y a rien de nouveau ici. Cette affaire a été signalée il y a des années. Les allégations des plaignants sont infondées et totalement sans rapport avec l’affaire”, a déclaré un porte-parole de Meta dans des déclarations au journal.

Selon les documents du dossier, dans le projet chasseurs de fantômes Une équipe de cadres supérieurs et environ 41 avocats ont travaillé.

Vous pouvez suivre Technologie EL PAÍS dans Facebook oui X ou inscrivez-vous ici pour recevoir notre bulletin d’information semanal.

_