Les navigateurs de TikTok, Instagram et Facebook vous traquent plus que vous le croyez

Si vous avez l’habitude de faire des achats à même le navigateur d’applications comme TikTok, Instagram ou Facebook, vous souhaitez peut-être revoir cette pratique.

Le développeur et chercheur en cybersécurité Felix Krause a récemment lancé le site en libre accès (open source) InAppBrowser.com (Nouvelle fenêtre). Avec cet outil, vous pouvez vérifier si les navigateurs qui s’ouvrent à l’intérieur des applications mobiles, comme Instagram ou TikTok, traquent votre activité en ligne.

« Certaines applications iOS et Android utilisent un navigateur personnalisé à même l'application. Ça entraîne des risques pour la sécurité et la vie privée de l'utilisateur ou l’utilisatrice. »

L’outil a notamment permis de révéler que l’application chinoise TikTok injecte bel et bien des codes JavaScript pour traquer les données sur son navigateur maison, et ce, sans le consentement de l’internaute ni des sites qui sont consultés.

Concrètement, ça signifie que lorsqu'on clique sur une URL pour acheter un produit sur TikTok, par exemple, l’application ouvre une fenêtre interne. Et comme pour tout achat en ligne, on y entre des données sensibles comme l’adresse postale, des informations de carte de crédit et parfois un mot de passe.

Les codes JavaScript peuvent surveiller notamment les saisies au clavier, les captures d’écran et de simples interactions avec des boutons.

Un porte-parole de TikTok a confirmé la pratique au magazine Forbes, précisant que le code JavaScript en question est utilisé uniquement pour le débogage, le dépannage et le contrôle des performances de l’expérience.

Vous pouvez d’abord vérifier si le navigateur interne de l’application que vous utilisez a recours à des codes JavaScript avec l’outil InAppBrowser.com. L’objectif est de pouvoir ouvrir l’URL à partir de l’application que vous souhaitez tester. Donc, il suffit de le publier en commentaire ou de l'envoyer à n’importe quelle personne en message direct (direct message ou DM, en anglais) sur Instagram, par exemple, et d’appuyer dessus pour que le site analyse les scripts exécutés en arrière-plan et fournisse un rapport.

S’il est positif, pensez à vérifier si l’application que vous utilisez offre la possibilité d’ouvrir un navigateur externe comme Safari ou Google, par exemple.