L'application Onavo de Meta : un détournement furtif du trafic HTTPS
Un récent recours collectif intenté contre Meta révèle des preuves suggérant que la société aurait pu enfreindre la loi sur les interceptions téléphoniques. Des documents judiciaires et une rétro-ingénierie de l'application Onavo Protect montrent que Meta a utilisé une technique appelée "ssl bump" pour intercepter le trafic HTTPS chiffré, déchiffrant le trafic vers des domaines spécifiques tels que Snapchat, YouTube et Amazon. Cela impliquait de tromper les utilisateurs pour qu'ils installent un certificat CA émis par "Facebook Research". Bien qu'inefficace sur les versions plus récentes d'Android, cette méthode a permis de collecter efficacement des données utilisateur de 2016 à 2019. L'incident met en évidence le potentiel des grandes entreprises technologiques à violer la vie privée des utilisateurs et à abuser des mécanismes de sécurité des appareils mobiles.
Lire plus