localhost tracking : Meta vous espionne même en mode incognito

Violence

Vous pensiez être invisible en mode incognito avec votre VPN ?

Et bien Meta vient de nous prouver que vous étiez aussi discret qu’un rhinocéros dans un magasin de porcelaine. En effet, leur dernière trouvaille technique transforme votre smartphone en mouchard et cette fois, ça pourrait leur coûter la bagatelle de 32 milliards d’euros d’amende.

L’affaire a éclaté en juin 2025 quand une équipe de cinq chercheurs a révélé au grand jour le “localhost tracking” de Meta. Tim Vlummens, Narseo Vallina-Rodriguez, Nipuna Weerasekara, Gunes Acar et Aniketh Girish ont découvert que Facebook et Instagram avaient trouvé le moyen de contourner toutes les protections d’Android pour vous identifier, même quand vous faites tout pour rester anonyme. VPN activé, mode incognito, cookies supprimés à chaque session… Meta s’en fichait complètement.

Le principe ?

Vos apps Facebook et Instagram se transforment en agents dormants dans votre téléphone en lançant discrètement un service d’écoute en arrière-plan sur des ports spécifiques (12387 ou 12388 pour TCP, et 12580-12585 pour UDP). Pendant ce temps, quand vous naviguez sur un site qui utilise le Meta Pixel (et selon BuiltWith, c’est le cas de 5,8 millions de sites web), le script utilise une technique appelée WebRTC avec SDP Munging pour transmettre votre cookie de navigation directement aux apps qui écoutent.

Ainsi, votre navigateur balance vos habitudes de navigation à vos apps sociales, qui les transmettent ensuite aux serveurs de Meta via GraphQL et le tour est joué ! Votre activité web anonyme devient alors directement reliée à votre profil Facebook ou Instagram.

L’ingéniosité derrière cette technique est diabolique… Meta a commencé à implémenter cette méthode en septembre 2024, puis l’a perfectionnée en novembre avec cette technique de SDP Munging. Cette dernière consiste à insérer le fameux cookie _fbp dans le champ “ice-ufrag” du protocole SDP, générant ainsi des messages STUN envoyés à l’adresse d’une boucle locale, ce qui en fait un processus totalement invisible aux outils de débogage classiques de Chrome.

Quand les chercheurs ont publié leurs résultats, Meta a alors tenté d’anticiper les contre-mesures en préparant une évolution vers WebRTC TURN (ports 12586-12591) pour éviter le SDP Munging que Chrome s’apprêtait à bloquer. Mais la pression était trop forte et le 3 juin dernier, Meta a été contraint d’arrêter complètement cette pratique et de supprimer le code responsable.

Et l’écosystème a réagi rapidement puisque Chrome 137, sorti le 26 mai, a implémenté des protections bloquant les ports abusés et désactivant les techniques SDP Munging utilisées par Meta. Firefox 139 a suivi avec des contre-mesures similaires, tandis que DuckDuckGo et Brave maintenaient déjà des protections basées sur des listes noires contre les communications localhost.

Mais le plus savoureux dans cette histoire, c’est l’addition qu’ils vont se manger car Meta fait face simultanément à des sanctions sous trois réglementations européennes différentes : GDPR (4% du chiffre d’affaires), DMA (6%) et DSA (10%). Ces pénalités pouvant s’additionner, on arrive à un total théorique de 20% du chiffre d’affaires annuel de Meta, soit environ 32 milliards d’euros sur les 164 milliards engrangés en 2024. Même pour Zuckerberg, ça commence à faire une somme qui pique !

Cette affaire s’ajoute ainsi à un palmarès déjà bien garni. Meta avait déjà écopé d’une amende record de 1,2 milliard d’euros en mai 2023 pour violation du GDPR, puis de 263 millions d’euros en décembre 2024 pour des failles de sécurité ayant exposé les données de 29 millions d’utilisateurs Facebook. Selon l’Autorité européenne de protection des données, le total cumulé des amendes GDPR a atteint 5,88 milliards d’euros en janvier 2025.

Ce qui est rigolo dans tout ça, c’est que même Google a été pris au dépourvu par cette technique. Meta a réussi à exploiter des failles dans WebRTC que personne n’avait anticipées, transformant un protocole conçu pour les appels vidéo en système d’espionnage domestique. C’est aussi tordu que génial !

Bref, Meta nous a encore prouvé qu’en matière d’espionnage, leur créativité n’a d’égal que leur cynisme. Heureusement, les navigateurs réagissent vite et les régulateurs européens ne rigolent plus !

– Sources :

https://www.zeropartydata.es/p/localhost-tracking-explained-it-could

https://korben.info/meta-localhost-tracking-32-milliards-amende.html

Raccoon

Ils sont pire que des hackeurs qui veulent s’introduire sur un réseau.