Vous pensiez que le mode navigation privée, le VPN, les paramètres de confidentialité vous protégeaient ? Détrompez-vous. Sur Android, Meta – la maison-mère de Facebook et Instagram – a trouvé le moyen de voir à travers vos murs numériques. Et ce, sans que vous ne le sachiez.

Android, le talon d’Achille de votre vie privée

C’est une découverte explosive. Des chercheurs de plusieurs universités européennes – Radboud (Pays-Bas), IMDEA Networks (Espagne) et KU Leuven (Belgique) – ont publié le 3 juin 2025 un rapport révélant comment Meta exploitait une faiblesse du système Android pour espionner les habitudes de navigation des utilisateurs de ses applications mobiles.

Le dispositif utilisé repose sur un détournement subtil, mais redoutablement efficace : lorsque vous visitez un site contenant le script publicitaire Meta Pixel, votre historique web – y compris en navigation privée – est redirigé non pas vers les serveurs d’un tiers, mais vers… vos propres applications Facebook et Instagram. Et comme ces deux outils sont déjà connectés à votre identité, Meta peut relier chaque clic à un nom, un profil, une vie. C’est ce qu’on appelle une désanonymisation forcée.

Comment Meta vous suivait à la trace sur Android

Voici comment tout cela fonctionnait :

  1. Le script Meta Pixel, intégré sur environ 20 % des sites web les plus populaires, enregistrait les données de navigation (pages vues, liens cliqués, etc.).
  2. Ces données n’étaient pas envoyées à un serveur distant mais redirigées vers une adresse locale sur votre téléphone (le fameux 127.0.0.1, aussi appelée « localhost »).
  3. L’application Facebook ou Instagram installée sur votre appareil écoutait en silence ce trafic local, identifiant les données, même en mode incognito ou via VPN.
  4. Une fois collectées, ces informations pouvaient être reliées à votre compte personnel, votre téléphone, votre identité réelle.

Ce procédé n’a jamais été mentionné dans les conditions d’utilisation. Il contournait les barrières mises en place par le système Android lui-même. Et il était actif depuis septembre 2024. Autrement dit : pendant au moins neuf mois, votre navigation privée… ne l’était pas.

Aucune autorisation, aucune alerte, zéro transparence

La gravité de l’affaire repose sur un fait simple : vous n’avez jamais consenti à ce suivi. Aucun pop-up. Aucune alerte de sécurité. Rien ne permettait de savoir que vos visites sur des sites tiers étaient récupérées et croisées avec vos données personnelles. Cela incluait des données sensibles, comme les recherches santé, les contenus intimes, les habitudes d’achat ou les pages consultées sur des sites à caractère privé.

Ce pistage s’est déroulé dans l’ombre, sans que ni Google, ni les éditeurs de sites, ni les utilisateurs n’en soient informés. Et cette opacité soulève des questions majeures sur la manière dont les applications peuvent exploiter l’infrastructure des smartphones pour collecter, assembler et analyser notre intimité.

Une technique impossible sur iPhone : iOS ferme la porte

Sur les appareils Apple, cette surveillance n’a pas pu être mise en œuvre. Les protections mises en place dans iOS empêchent les applications d’intercepter ce type de trafic local entre navigateur et scripts web. Seuls les téléphones Android étaient exposés.

Meta a depuis suspendu le code concerné. Mais sans promettre la suppression des données déjà collectées, ni garantir que d’autres mécanismes similaires ne seront pas utilisés à l’avenir. Pour l’instant, aucune sanction n’a été annoncée, ni de la part de Google, ni des autorités de régulation.

Android et vous : comment se protéger ?

Si vous utilisez un smartphone Android, voici ce que vous pouvez faire pour limiter ce type d’espionnage :

  • Évitez d’utiliser les applications Facebook et Instagram si vous ne voulez pas qu’elles puissent écouter votre navigation.
  • Privilégiez les navigateurs comme Brave ou DuckDuckGo, qui ont intégré très tôt des protections contre ce type de détournement. Chrome, Firefox et Edge étaient vulnérables.
  • Désinstallez les applications que vous n’utilisez pas : chaque outil installé est une porte d’entrée potentielle vers vos données.
  • Surveillez les permissions accordées aux applications, en particulier celles liées à Internet ou au réseau local.