Pas un mois ne passe sans un scandale avec Facebook. Rappelez-vous : en août dernier, Apple a demandé à Facebook de retirer son VPN Onavo de l’App Store pour violation des politiques de collecte de données. Depuis Facebook est revenu à la charge en contournant les règles de l’App Store et rémunère même des adolescents et adultes jusqu’à 35 ans pour installer le VPN Onavo sur iPhone pour les espionner.
Le VPN Onavo revient en force via le programme Atlas de Facebook
Selon un rapport, Facebook rémunère des utilisateurs jusqu’à 20 $ par mois, avec des bonus selon leur trafic, pour faire installer son mouchard en tant qu’application de « Recherche » par son programme appelé « Atlas ». Ainsi l’entreprise contourne complètement l’App Store dans ce processus en l’administrant par le biais de fournisseurs de services bêta tels que Applause, BetaBound et uTest.
Ces fournisseurs ont démarché les utilisateurs via les réseaux sociaux sans jamais mentionner Facebook et faisant surtout l’éloge d’une « étude rémunérée ». La seule mention de Facebook apparait lorsque des utilisateurs âgés de moins de 18 ans tentent de s’inscrire, car les parents sont tenus de remplir un formulaire de consentement dans ce cas.
Pendant ce temps, BetaBound fait un discours similaire, en disant que les utilisateurs recevront 20 $ par mois pour installer une application et la laisser tourner en arrière-plan. Les utilisateurs se voient également promettre 20 $ de plus pour chaque recommandations vers un ami.
Applause annonce sur son site Web que les données recueillies s’effectuent dans le cadre d’une étude « de recherche » :
Pour faire court : l’installation de ce VPN Onavo donne à Facebook « un accès illimité à l’appareil d’un utilisateur ». Dans certains cas, les utilisateurs sont même tenus de se rendre sur leur compte Amazon et de prendre une capture d’écran de l’historique de leurs commandes, puis de la télécharger sur le site Facebook Research.
Ainsi Facebook contourne complètement le système de test bêta TestFlight d’Apple pour cette application. Au lieu de cela, les utilisateurs doivent se rendre à l’adresse r.facebook-program.com/ios/stable/manifest.plist
(l’accès à cette URL a été supprimé par Facebook), où ils sont invités à installer « un certificat de développeur d’entreprise et VPN » et faire confiance au certificat Facebook pour un accès root à leur smartphone et toutes les données qu’il transmet.
Ce type de certificat root n’est censé être utilisé que par des développeurs qui distribuent des applications en interne, l’implémentation qu’en fait Facebook constitue une violation de cette directive.
Apple semble être « au courant » du problème, mais cela ne signifie pas que l’entreprise pourrait interdire à Facebook d’utiliser les certificats « Enterprise Developer ». De son côté, Facebook affirme bizarrement que son utilisation ne viole pas les directives d’Apple, mais ne fournit aucune preuve pour appuyer cette affirmation.
Seriez-vous prêt à gagner 20$ par mois pour fournir toutes vos données privées et tout le trafic de votre smartphone ?