En 2016, Facebook a lancé le projet secret “Ghostbusters” visant à intercepter et décrypter le trafic réseau entre les utilisateurs de Snapchat et ses serveurs.

Selon des documents de justice nouvellement dévoilés, l’objectif de ce projet était de comprendre le comportement des utilisateurs et pouvoir Facebook à rivaliser avec Snapchat. Facebook a appelé cela “Ghostbusters Projects”, en référence claire au logo fantomatique de Snapchat.

En effet, cette semaine un tribunal fédéral de Californie a publié de nouveaux documents découverts dans le cadre du recours collectif entre les consommateurs et Meta, la société mère de Facebook.

Les documents nouvellement publiés révèlent comment Meta a tenté de prendre un avantage concurrentiel sur ses concurrents, notamment Snapchat, puis Amazon et YouTube, en analysant le trafic réseau de la façon dont ses utilisateurs interagissaient avec les concurrents de Meta. Compte tenu de l’utilisation de chiffrement par ces applications, Facebook devait développer une technologie spéciale pour contourner ce dernier.

Un des documents détaille le projet Ghostbusters de Facebook. Le projet faisait partie du programme In-App Action Panel (IAPP) de l’entreprise, qui utilisait une technique pour “intercepter et décrypter” le trafic d’application chiffré des utilisateurs de Snapchat, puis des utilisateurs de YouTube et d’Amazon, ont écrit les avocats des consommateurs dans le document.

Le document comprend des e-mails internes de Facebook discutant du projet.

“Chaque fois que quelqu’un pose une question sur Snapchat, la réponse est généralement que parce que leur trafic est chiffré, nous n’avons aucune analyse à leur sujet”, a écrit le PDG de Meta, Mark Zuckerberg, dans un e-mail daté du 9 juin 2016, publié dans le cadre du recours collectif. “Compte tenu de leur croissance rapide, il semble important de trouver un nouveau moyen d’obtenir des analyses fiables à leur sujet. Peut-être devrions-nous faire des panels ou écrire un logiciel personnalisé. Vous devriez trouver comment faire cela.”

La solution des ingénieurs de Facebook a été d’utiliser Onavo, un service de type VPN que Facebook a acquis en 2013. En 2019, Facebook a fermé Onavo après qu’une enquête de TechCrunch a révélé que Facebook payait secrètement des adolescents pour utiliser Onavo afin que l’entreprise puisse accéder à toutes leurs activités web.

Après l’e-mail de Zuckerberg, l’équipe Onavo a pris en charge le projet et, un mois plus tard, a proposé une solution : des “kits” qui peuvent être installés sur iOS et Android et qui interceptent le trafic pour des sous-domaines spécifiques, “nous permettant de lire ce qui serait sinon du trafic chiffré afin que nous puissions mesurer l’utilisation des applications de nos concurrents”, lit-on dans un e-mail de juillet 2016. “Il s’agit d’une approche ‘homme du milieu’.”

Une attaque de type “Homme du Milieu” (Man in the Middle), aujourd’hui également appelée “adversaire du milieu”, est une attaque où les pirates interceptent le trafic internet circulant d’un appareil à un autre sur un réseau. Lorsque le trafic réseau n’est pas chiffré, ce type d’attaque permet aux pirates de lire les données à l’intérieur, telles que les noms d’utilisateur, les mots de passe et d’autres activités dans l’application.

Étant donné que Snapchat chiffrait le trafic entre l’application et ses serveurs, cette technique d’analyse de réseau ne serait pas efficace. C’est pourquoi les ingénieurs de Facebook ont proposé d’utiliser Onavo, qui une fois activé avait l’avantage de lire tout le trafic réseau de l’appareil avant qu’il ne soit chiffré et envoyé sur internet.

“Nous avons désormais la capacité de mesurer l’activité détaillée dans l’application” en “analysant les données de Snapchat [sic] collectées auprès des participants incités au programme de recherche d’Onavo”, lit-on dans un autre e-mail.

Plus tard, selon les documents de justice, Facebook a étendu le programme à Amazon et YouTube.

À l’intérieur de Facebook, il n’y avait pas de consensus sur la question de savoir si le projet Ghostbusters était une bonne idée. Certains employés, dont Jay Parikh, alors responsable de l’ingénierie de l’infrastructure de Facebook, et Pedro Canahuati, alors responsable de l’ingénierie de la sécurité, ont exprimé leur préoccupation.

“Je ne vois pas d’argument valable pour justifier cela. Aucune personne chargée de la sécurité n’est jamais à l’aise avec cela, peu importe le consentement que nous obtenons du grand public. Le grand public ne sait tout simplement pas comment cela fonctionne”, a écrit Canahuati dans un e-mail, inclus dans les documents de justice.

En 2020, Sarah Grabert et Maximilian Klein ont intenté un recours collectif contre Facebook, affirmant que l’entreprise avait menti sur ses activités de collecte de données et exploité les données qu’elle avait “déceptivement extraites” des utilisateurs pour identifier les concurrents, puis combattre injustement ces nouvelles entreprises.

Un porte-parole d’Amazon a refusé de commenter.

Google, Meta et Snap n’ont pas répondu aux demandes de commentaire.