Les navigateurs intégrés au sein de certaines applications des réseaux sociaux pourraient collecter une multitude de données grâce à du code JavaScript injecté directement dans les pages Web. Ce code contiendrait des fonctions pour collecter toutes les interactions, y compris les mots de passe et numéros de cartes bancaires.


au sommaire


    Les navigateurs intégrés aux applicationsapplications de certains réseaux sociauxréseaux sociaux peuvent enregistrer toute votre activité, y compris le texte saisi, selon le chercheur en cybersécurité Felix Kraus. C'est en tout cas vrai sur iOSiOS, mais il n'a pas analysé les versions AndroidAndroid des applications.

    Les utilisateurs de TikTokTikTok, Instagram, Facebook et Messenger sont tous exposés à la surveillance lorsqu'ils ouvrent un lien dans ces applications sans passer par un navigateur externe. Chacune possède son propre navigateur intégré, qui injecte du code JavaScript dans les pages consultées sans le consentement de l'utilisateur ni du site Web.

    Un navigateur qui se comporte comme un keylogger

    Bien qu'il ne puisse pas affirmer quelles données sont effectivement collectées, le code JavaScript contient toutes les fonctions nécessaires pour enregistrer toutes les interactions avec les pages consultées, y compris le texte saisi (mots de passe, numéros de carte bancaire...)), les liens ouverts et même les captures d'écran. C'est le principe même d'un keylogger.

    Meta, la maison mère de Facebook, ainsi que TikTok ont tous les deux répondu que le code en question n'enregistrait aucune donnée personnelle. Dans le cas de Meta, il servirait avant tout à permettre de ne pas être suivi par Meta Pixel (l'équivalent à Google AnalyticsGoogle Analytics) lorsque l'utilisateur s'y oppose. De son côté, TikTok a indiqué que son code sert au diagnosticdiagnostic et au suivi des performances, par exemple le temps de chargement des pages. Difficile toutefois d'imaginer que ces entreprises feraient l'impasse sur la collecte de données lorsque le code contient déjà toutes les fonctions nécessaires. Dans tous les cas, il existe une solution simple pour éviter tout risque de surveillance. Optez toujours pour ouvrir les liens dans le navigateur par défaut du mobilemobile, et non dans celui de l'application.