Close Menu
    S'INSCRIRE A LA NEWSLETTER
    NEWSLETTER
    .
    Sécurité en ligne

    Facebook a espionné plus de 33 millions de téléphones via un VPN acheté >100M$… pendant des années !

    La RédactionMaxime Blanc et
    Un homme découvrant l’espionnage par Facebook depuis un VPN.
    © Aruco-Innovation+IA

    Chaque année, l’usage des VPN se banalise pour sécuriser du streaming ou des achats en ligne. Ces services promettent intimité et anonymat… mais l’affaire du VPN Onavo‑Protect montre que derrière cette façade se cachait un outil de surveillance utilisé par Facebook pour surveiller ses utilisateurs et concurrents. Une illustration parfaite du fossé entre l’imaginaire de protection et les logiques réelles de collecte de données.

    Sur le même sujet :

    Le nom Onavo ne vous dit peut-être pas grand chose, mais pourtant vous gagnerez à le connaître car si vous ne le connaissez pas, lui vous connaît sûrement. Onavo est un VPN censé protéger vos données et votre vie privée, rachetée en catimini par Facebook en 2013. Le montant de la transaction est évaluée entre 100 et 120 millions de dollars soit entre 90 et 110 millions d’euros. Mais derrière cette acquisition se cachait l’un des systèmes de surveillance grand public les plus efficaces jamais déployés. Pendant des années, Onavo a espionné plus de 33 millions d’utilisateurs (soit vraisemblablement l’équivalent en téléphones), comme le rappelle TechCrunch.

    L’ampleur de la polémique autour de Meta a récemment gonflé après la publication d’un thread viral d’Alex Vacca (@itsalexvacca) sur X (ex : Twitter).

    Onavo, un VPN qui masquait mal son rôle de mouchard

    Fondée en 2010 en Israël par Guy Rosen et Roi Tiger, Onavo promettait de protéger la vie privée de ses utilisateurs. Onavo ne pouvait analyser une partie du trafic chiffré lorsque l’utilisateur avait accepté l’installation d’un certificat racine. Les communications protégées par des mécanismes comme le SSL Pinning, tels que WhatsApp ou iMessage, restaient inaccessibles.

    Ces données étaient ensuite exploitées par Facebook pour surveiller l’essor de ses concurrents : Snapchat, Houseparty, YouTube, Amazon… Ce suivi stratégique a permis d’orienter des décisions clés, comme la création d’Instagram Stories, copiée sur Snapchat. Une information révélée lors d’un procès judiciaire contre Meta et rapportée par le Wall Street Journal.

    « Project Ghostbusters » : intercepter le trafic de Snapchat

    Un email interne du 9 juin 2016, signé du PDG de Meta Mark Zuckerberg, donne le ton :

    « Compte tenu de leur croissance rapide, il semble important de trouver un nouveau moyen d’obtenir des analyses fiables à leur sujet. […] Vous devriez trouver comment faire cela. ».

    Ce document a également été rendu public dans le cadre du procès contre Meta. En clair, Facebook a mis au point le « Project Ghostbusters », un système de type « man-in-the-middle » capable d’intercepter le trafic chiffré de Snapchat.

    Le procédé :

    • Installation d’un certificat racine via le VPN Onavo,
    • Interception et inspection du trafic,
    • Transmission des données à Facebook pour analyse.

    L’opération ne s’est pas limitée à Snapchat. Si le Project Ghostbusters a bien permis d’intercepter et d’analyser le trafic chiffré de Snapchat l’analyse de YouTube, Amazon, Houseparty et d’autres applications populaires reposait surtout sur la télémétrie réseau (volume, fréquence et destination du trafic). Il ne s’agissait pas d’un déchiffrement intégral pour ces services, mais plutôt d’un suivi comportemental destiné à détecter la croissance et les usages concurrents.

    Facebook Research : payer les ados pour espionner leur téléphone

    En août 2018, après le retrait volontaire d’Onavo de l’App Store par Facebook et celui sur Google Play en février 2019, suite à des pressions d’Apple, l’entreprise a mis l’accent sur un autre programme, Facebook Research.

    Le concept lancé en 2016 consistait à payer 20 $ par mois des utilisateurs de 13 à 35 ans pour installer un VPN + certificat racine, donnant accès au trafic réseau et aux métadonnées grâce au VPN et au certificat racine. En revanche, Facebook Research accédait en contrepartie aux métadonnées et à certains flux réseau non protégés par SSL Pinning, mais ne pouvait pas lire le contenu des messages chiffrés de bout en bout, comme ceux de WhatsApp ou d’iMessage. 

    Distribuée via le programme Entreprise Développeur d’Apple, cette application a ensuite été rapidement bloquée par la marque à la pomme. La vraie raison : Facebook a abusé de son certificat d’entreprise — normalement réservé aux tests internes — pour distribuer largement son application à des utilisateurs grand public, contournant ainsi les règles strictes d’Apple.

    Sur Android, Facebook Research a été distribué via Google Play avant d’être supprimée en raison des controverses. Si aucune date précise de suppression n’est donnée, on estime le retrait de l’application, courant 2019.

    Êtes-vous espionné sans le savoir par Meta AI ? L’IA s’infiltre dans vos applis sans prévenir

    Facebook et Onavo sanctionné par la justice australienne

    En juillet 2023, l’ACCC a condamné Facebook Israel et Onavo Inc à verser un total de 10 millions de dollars australiens, soit environ 6 millions d’euros, pour pratiques trompeuses ou suceptibles d’induire en erreur dans la promotion d’Onavo Protect.  Pour l’instant, aucune sanction équivalente n’a été prononcée aux États-Unis ou en Europe. Malheureusement, le RGPD qui réglemente la protection des données en UE n’a pas été appliqué puisque l’arrêt d’Onavo a eu lieu avant l’entrée en vigueur du RGPD…

    En parallèle, une autre affaire touche actuellement la multinationale, puisqu’en Italie Meta fait l’objet d’une enquête. Selon l’autorité italienne de la concurrence et du marché, l’entreprise est soupçonnée d’une pré-installation automatique de Meta AI sur Whatsapp, ce qui constituerait un abus de position dominante par rapport à la concurrence. Une attitude qui est susceptible de constituer une infraction, au vu du droit à la concurrence européen.

    Le vrai enseignement pour les utilisateurs ?

    Ne faites pas une confiance aveugle à un VPN (surtout quand il est gratuit comme Onavo) :

    • Un VPN ne bloque pas les trackers intégrés aux apps ou aux sites web.
    • Mal choisi, le VPN peut lui-même devenir un outil de surveillance, si l’éditeur collecte les données comme Onavo.

    Les géants de la tech exploitent ces données pour orienter leurs innovations, copier la concurrence ou décider de futures acquisitions. La promesse de sécurité  ne doit jamais faire oublier que vos données ont une valeur stratégique. Onavo est l’exemple parfait d’une promesse trahie et que la confiance accordée en la technologie doit être très modérée. Face à ces pratiques, la réglementation reste en retard.

    Le modèle économique de la surveillance consentie pose une question de fond : À quel moment la collecte massive devient‑elle une menace systémique ? Une seule chose est sûre, la vigilance reste votre meilleure protection. Cet article vous a éclairé ? Votre vision compte pour enrichir le débat. Partagez vos questions, vos doutes ou vos expériences en commentaire. Et si vous repérez une information qui devrait être corrigée, faites-nous signe !

    Certains liens de cet article peuvent être affiliés.

    Partager.

    Notre mission est d’offrir à nos lecteurs une information claire, fiable et à jour. Chaque article s’appuie sur une veille rigoureuse de l’actualité, une vérification méticuleuse des sources et une exigence constante de clarté et de précision. Nous nous engageons à publier des contenus utiles, accessibles et vérifiables, afin d’éclairer les enjeux du monde contemporain et d’accompagner chacun dans sa compréhension de l’information.

    AJOUTER UN COMMENTAIRE
    Laisser un commentaire