70 % des applications mobiles partagent vos données avec des services tiers

70 % des applications mobiles possèdent au moins un tracker qui est associé à un service tiers qui peut faire du profilage publicitaire ou de la collecte de données.


70 % des applications mobiles possèdent au moins un tracker qui est associé à un service tiers qui peut faire du profilage publicitaire ou de la collecte de données.

Nos téléphones révèlent beaucoup de choses sur nous. Où nous vivons et comment nous travaillons.1 Qui sont nos amis, notre famille et nos connaissances et comment nous communiquons avec eux. Avec les nombreuses informations sensibles, il n’est pas étonnant que les utilisateurs protègent leurs téléphones avec des codes PIN ou des mots de passe pour les verrouiller.2 La recherche que nous avons développée montre une menace plus significative qui est négligée par de nombreuses personnes. 70 % des applications de collectent des et les envoie à des entreprises tierces comme Google Analytics, l’API de Facebook Graph ou Crashlytics.34

Quand une personne installe une application ou iOS, celle-ci va demander la permission de l’utilisateur avant d’accéder à l’information. Et c’est un point positif, car les applications ont besoin de certaines informations pour fonctionner. Une application de cartes géographiques ne serait pas utile si elle ne pouvait pas utiliser le GPS pour avoir la localisation.

Mais une fois que l’application a obtenu la permission, elle peut partager vos données avec toutes les entités autorisées par le développeur et ainsi, vous avez des entreprises tierces qui sauront pratiquement tout de vous.

L’utilité et le danger des librairies de code

Une application ne collecte pas uniquement les données pour l’utiliser sur le téléphone. Les applications de cartographie vont envoyer vos coordonnées GPS à un serveur du développeur pour calculer les directions et votre destination. Mais l’application peut envoyer également des données sur d’autres emplacements. Comme les sites web, de nombreuses applications mobiles sont codées en combinant de nombreuses fonctions qui ont été écrites par d’autres développeurs et entreprises qu’on connait comme les librairies tierces. Ces librairies permettent aux développeurs de connaitre l’engagement de l’utilisateur, de se connecter sur les réseaux sociaux ou de gagner de l’argent avec la publicité sans avoir besoin d’écrire ces fonctions.5 67

L'interface de l'application Lumen - Crédit : ICSI, CC BY-ND

L’interface de l’application Lumen – Crédit : ICSI, CC BY-ND

Cependant, pour que l’échange soit gagnant, la plupart des librairies collectent des données sensibles et elles les envoient à des serveurs en ligne ou à une autre entreprise. Et les bons développeurs de librairie peuvent obtenir ainsi un profil publicitaire détaillé. Par exemple, une personne peut autoriser une application à connaitre sa localisation et une autre application va accéder à ses contacts. Ce sont des permissions différentes pour chaque application. Mais si les deux applications utilisent la même librairie tierce et qu’elle partage des informations différentes, alors le développeur de la librairie pourrait les associer ensemble.

Et les utilisateurs ne le sauront jamais, car les applications n’informent pas les utilisateurs sur les librairies utilisées. Et très peu d’applications proposent une politique de ou de leurs conditions d’utilisation. Et même s’ils existent, ce sont des documents juridiques qui sont conçus pour être illisibles pour les utilisateurs lambda.8

Développer Lumen

Notre recherche voulait démontrer la quantité de données collectées sans le consentement de l’utilisateur afin de permettre de mieux contrôler le flux de donnée. Pour avoir une image des données collectées et transmises depuis les téléphones des utilisateurs, nous avons développé une application Android gratuite appelée Luman Privacy Monitor.9 10  Elle analyse le trafic envoyé depuis les applications pour identifier les applications et les services en ligne qui collectent les données personnelles.

L'explication de l'application Lumen sur une collecte de données - Crédit : ICSI, CC BY-ND

L’explication de l’application Lumen sur une collecte de données – Crédit : ICSI, CC BY-ND

Étant donné que Lumen concerne la transparence, l’utilisateur peut voir les informations collectées dans ses applications en temps réel et il peut identifier la destination de ces informations. Nous tentons de montrer les détails du comportement caché de l’application dans une manière intuitive. Et comme cela concerne également la recherche, nous avons demandé aux utilisateurs s’ils permettaient de collecter les données observées par Lumen sur leurs applications, mais qui n’incluent pas des informations personnelles. Cet accès unique aux données nous permet d’étudier comment les applications mobiles collectent les données personnelles et les entités qui profitent de ces informations.

En particulier, Lumen garde la trace des applications qui tournent sur les appareils. L’application identifie les données privées envoyées du téléphone, les sites qui collectent ces données, le protocole de réseau utilisé et les types d’informations envoyés à chaque site. Lumen analyse localement le trafic sur l’appareil et il les anonymise avant de nous les envoyer. Si Google Maps enregistre la localisation GPS d’un utilisateur et envoie cette adresse à maps.google.com, alors Lumen nous dira : Google Maps a obtenu la localisation GPS et l’a envoyé à maps.google.com, mais elle ne nous dira pas l’identité de la personne.

Les Trackers sont absolument partout !

Plus de 1 000 personnes ont utilisé Lumen depuis octobre 2015 ce qui nous a permis d’analyser plus de 5 000 applications. Nous avons découvert 598 sites internet qui pistent les utilisateurs pour la publicité incluant des réseaux sociaux comme Facebook, Google et Yahoo sans oublier les entreprises de marketing des FAIs comme Verizon.

Nous avons découvert que 70 % des applications étudiées se connectent au moins à un tracker et 15 % se connectent au moins à 5 trackers.9 1 Tracker sur 4 collectait l’identifiant unique de l’appareil tel que le numéro de téléphone ou le numéro d’IMEI.11 Les identifiants uniques sont cruciaux pour la collecte de données, car ils peuvent associer différents types de données personnelles par des applications différentes à une seule personne ou appareil. La plupart des utilisateurs, même ceux qui connaissent les dangers de la surveillance, ignorent ces pratiques cachées.

C’est bien pire que le problème du mobile

Le fait de tracker les utilisateurs sur leur mobile est une partie du problème. Mais plus de 50 % des trackers identifiés surveillaient les utilisateurs via les sites. Cette technique, connue comme le Cross-Device, permet à ces services de créer un profil complet de votre identité numérique.

Et les sites de tracking ne sont pas forcément indépendants. Certains appartiennent à la même entreprise et d’autres pourraient être rachetés dans le futur. Par exemple, Alphabet, l’entreprise mère de Google, possède plusieurs sites que nous avons étudiés incluant Google Analytics, DoubleClick ou AdMob. Ces 3 services sont responsables du tracking de près de 48 % des appareils étudiés.

Les transferts de donnée observés entre les localisations des utilisateurs de Lumen (gauche) et les localisations des serveurs de librairies tierces (droite). Ca passe par le monde entier - Crédit : ICSI, CC BY-ND

Les transferts de donnée observés entre les localisations des utilisateurs de Lumen (gauche) et les localisations des serveurs de librairies tierces (droite). Ca passe par le monde entier – Crédit : ICSI, CC BY-ND

Et les identités numériques des utilisateurs ne sont pas protégées par les lois de leur pays. Nous avons trouvé une circulation des données à travers les frontières et elles atterrissaient souvent dans des pays avec des lois sur la vie privée douteuse. Plus de 60 % des connexions des sites de tracking concernent des serveurs aux États-Unis, au Royaume-Uni, en France, à Singapour, en Chine et en Corée du Sud et 6 de ces pays pratiquent la surveillance de masse. Les agences gouvernementales dans ces pays peuvent accéder à ces données même si les utilisateurs se trouvent dans des pays qui possèdent de bonnes lois sur la vie privée tels que l’Allemagne, la Suisse ou l’Espagne.12 13

Encore plus inquiétant, nous avons observé des trackers dans des applications destinées aux enfants. En testant 111 applications pour enfant, nous avons observé que 11 d’entre eux collectaient un identifiant unique, l’ et le routeur Wifi auxquels ils étaient connectés.14 C’est un problème, car il est facile de trouver l’adresse physique avec les adresses MAC.15 Le fait de collecter les données privées sur les enfants viole potentiellement les règles de la FTC sur la vie privée des enfants.

Le service Wigle permet de connaitre une adresse physique à partir de l'adresse MAC - Crédit : ICSI, CC BY-ND

Le service Wigle permet de connaitre une adresse physique à partir de l’adresse MAC – Crédit : ICSI, CC BY-ND

Gratter la surface de la surveillance de masse sur les applications mobiles

Même si nos données incluent de nombreuses applications Android populaires, ce n’est qu’un petit échantillon d’utilisateurs et d’applications et donc, on a également une faible idée de tous les trackers sur le marché. Nos résultats grattent à peine la surface d’un problème plus large qui s’étend sur les juridictions, les appareils et les plateformes.

Et il est difficile de dire comment les utilisateurs peuvent se protéger contre ces trackers. Si on bloque les informations sensibles, alors cela peut pénaliser l’expérience d’utilisateur et la performance de l’application. Une application peut refuser de fonctionner si elle n’affiche pas des publicités. Le blocage de la publicité pénalise la source de revenus des développeurs, car ces derniers proposent souvent gratuitement leurs applications.

Si les gens étaient prêts à payer les développeurs pour les applications, cela pourrait être un début de solution. Mais nous avons également trouvé que même les applications payantes collectent des informations personnelles sur les utilisateurs même si c’est moins grave que les applications gratuites. La transparence, l’éducation et des législations fortes sont les principales solutions. Les utilisateurs ont besoin de connaitre les informations qui sont collectées sur eux, par qui et pour quel but. Et ensuite seulement, nous pourrons décider des protections de la vie privée à mettre place. Nos résultats et ceux d’autres chercheurs permettent de rendre la monnaie de leur pièce en surveillant désormais ceux qui nous surveillent à notre insu depuis des années.

Traduction d’un article de The Conversation par Narseo Vallina-Rodriguez et Srikanth Sundaresan.

Sources

1.
Chapter Two: Usage and Attitudes Toward Smartphones. Pew Research Center: Internet, Science & Tech. http://www.pewinternet.org/2015/04/01/chapter-two-usage-and-attitudes-toward-smartphones/. Published 1 avril 2015. Consulté le mai 30, 2017.
2.
Malkin N, Harbach M, De Luca A, Egelman S. THE ANATOMY OF SMARTPHONE UNLOCKING. GetMobile: Mobile Comp and Comm. 2017;20(3):42-46. doi: 10.1145/3036699.3036712
3.
ICSI Haystack Project . haystack.mobi. https://haystack.mobi/. Consulté le mai 30, 2017.
4.
Tracking the Trackers: Towards Understanding the Mobile Advertising and Tracking Ecosystem. arXiv. https://arxiv.org/pdf/1609.07190.pdf.
5.
Google Analytics. analytics.google.com. https://analytics.google.com/analytics/web/. Consulté le mai 30, 2017.
6.
Facebook Graph API. developers.facebook.com. https://developers.facebook.com/docs/graph-api. Consulté le mai 30, 2017.
7.
Google Mobile Ads SDK  |  AdMob for iOS        |  Google Developers. Google Developers. https://developers.google.com/admob/ios/download. Published 22 mai 2017. Consulté le mai 30, 2017.
8.
Sunyaev A, Dehling T, Taylor PL, Mandl KD. Availability and quality of mobile health app privacy policies. Journal of the American Medical Informatics Association. août 2014. doi: 10.1136/amiajnl-2013-002605
9.
The ICSI Haystack Panopticon. haystack.mobi. https://www.haystack.mobi/panopticon. Consulté le mai 30, 2017.
10.
Lumen Privacy Monitor – Applications Android sur Google Play. play.google.com. https://play.google.com/store/apps/details?id=edu.berkeley.icsi.haystack. Consulté le mai 30, 2017. [Source]
11.
About IMEI. gsma.com. http://www.gsma.com/managedservices/mobile-equipment-identity/about-imei/. Consulté le mai 30, 2017.
12.
Carter J. Beyond the Atlantic: Data privacy laws around the world. TechRadar. http://www.techradar.com/news/world-of-tech/beyond-the-atlantic-data-privacy-laws-around-the-world-1322682. Published 9 juin 2016. Consulté le mai 30, 2017.
13.
List of government mass surveillance projects – Wikipedia. en.wikipedia.org. https://en.wikipedia.org/wiki/List_of_government_mass_surveillance_projects. Consulté le mai 30, 2017.
14.
Standard Group MAC Addresses: A Tutorial Guide. standards.ieee.org. http://standards.ieee.org/develop/regauth/tut/macgrp.pdf. Consulté le mai 30, 2017.
15.
Children’s Online Privacy Protection Rule  | Federal Trade Commission. ftc.gov. https://www.ftc.gov/enforcement/rules/rulemaking-regulatory-reform-proceedings/childrens-online-privacy-protection-rule. Consulté le mai 30, 2017.

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (No Ratings Yet)
Loading...

Houssen Moshinaly

Rédacteur en chef d'Actualité Houssenia Writing. Rédacteur web depuis 2009 et vulgarisateur scientifique.

Je m'intéresse à tous les sujets scientifiques allant de l'Archéologie à la Zoologie. Je ne suis pas un expert, mais j'essaie d'apporter mes avis éclairés sur de nombreux sujets scientifiques.

Pour me contacter personnellement :

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *