Sécurité : Deux applications mobiles sur trois récupèrent des données personnelles sans que l'utilisateur soit au courant affirme la Cnil. Les données de géolocalisation et les identifiants sont très prisés, avec l'objectif de cibler les contenus publicitaires, souvent sans le consentement de l'internaute.
Avec ce nouveau rapport de recherche réalisée en collaboration avec l’Inria, la Commission complètel’étude de l’an passé qui se penchait sur iOS. C’est Android « Jelly bean » qui est cette fois passé à la loupe. Le fonctionnement de 121 applications utilisées avec l’OS de Google ont été passé en revue.
Etude comparative entre les systèmes iOS et Android. (Source : Cnil).
Géolocalisation : la reine des données
L’étude révèle qu’entre un quart et un tiers des applications ont accès à la géolocalisation de leurs utilisateurs. « La géolocalisation est la donnée reine sur les smartphones » affirme Geoffrey Delcroix, chargé d’étude pour la Cnil. « La fréquence avec laquelle l'application demande les données de géolocalisation sont étonnantes » explique t-il. « On a du mal à relier cela avec des fonctionnalités de l'application ». C'est bien le problème.
Car l’utilisation des données de géolocalisation est parfois totalement justifié. Pour une application de cartographie par exemple. Mais de nombreuses applications, comme des jeux, rapatrient les données de localisation de leurs utilisateurs, sans que cela soit utile au fonctionnement du programme. A quoi peuvent bien servir ces données ? "Avec un faible coût de stockage, notre hypothèse est que les éditeurs récupèrent quantité de données en attendant de savoir comment les valoriser" explique Geoffrey Delcroix.
Car l’utilisation des données de géolocalisation est parfois totalement justifié. Pour une application de cartographie par exemple. Mais de nombreuses applications, comme des jeux, rapatrient les données de localisation de leurs utilisateurs, sans que cela soit utile au fonctionnement du programme. A quoi peuvent bien servir ces données ? "Avec un faible coût de stockage, notre hypothèse est que les éditeurs récupèrent quantité de données en attendant de savoir comment les valoriser" explique Geoffrey Delcroix.
A ce propos, la Cnil cite le cas d’une application de réseau social qui a accédé 150.000 fois aux données de géolocalisation d'un de ses testeurs en l'espace de… trois mois. «En volume, la géolocalisation est la donnée la plus collectée», affirme la Cnil. «Elle représente à elle seule plus de 30% des évènements détectés, sans être toujours liée à des fonctionnalités offertes par l'application ou à une action de l'utilisateur.»
« Nous appelons les acteurs a rétablir la proportion entre les volumes d'accès aux données et la capacité des utilisateurs à maitriser cela » précisent les auteurs de l’étude.
« Nous appelons les acteurs a rétablir la proportion entre les volumes d'accès aux données et la capacité des utilisateurs à maitriser cela » précisent les auteurs de l’étude.
Course aux identifiants
Après la géolocalisation, l’étude pointe du doigt «la course aux identifiants». Ces données relatives au nom du téléphone, du propriétaire, ou encore à l’historique des bornes WiFi utilisées sont massivement utilisées par les éditeurs d’applications. Il en résulte la constitution de profils publicitaires qui peuvent être utilisés alors que l’Internaute précise expressément qu’il ne veut pas être pisté.
L’objectif ? pouvoir proposer du contenu publicitaire ciblé en s’affranchissant des souhaits de l’utilisateur. « Les éditeurs d'application vont aller systématiquement chercher les identifiants des utilisateurs » affirme Geoffrey Delcroix. « Tous ces écosystèmes qui vivent de la publicité sont friands de ces informations ».
L’objectif ? pouvoir proposer du contenu publicitaire ciblé en s’affranchissant des souhaits de l’utilisateur. « Les éditeurs d'application vont aller systématiquement chercher les identifiants des utilisateurs » affirme Geoffrey Delcroix. « Tous ces écosystèmes qui vivent de la publicité sont friands de ces informations ».
«Sur Android, un quart des applications ont accédé à deux identifiants ou plus», précise l'étude. A titre d’exemple, l’exploitation des données contenues dans l'adresse mac de la carte WiFi des appareils fonctionnant sur Android permet le géo-repérage des réseaux wi-fi utilisés. « On peut ainsi connaître l'historique des localisation en regardant l'historique des points d'accès wifi du téléphone » affirme l’auteur de l’étude. « Aéroport, employeur, visite de sites, on peut connaître les endroits où va l'utilisateur. On peut ensuite inférer des liens sociaux et familiaux en identifiant l’utilisation de box wifi personnelles ».
Ces possibilités sont-elles utilisées ? Oui, sur les 2700 applications populaires : 41% des applications demandent ces accès affirme l’étude. Il y a quelques semaines, l'application mobile Uber pour Android s'était retrouvée au coeur de la tourmente très exactement sur le même sujet.
La Cnil pointe du doigt le fait que le système de permission Android est trop complexe, trop grossier, trop défavorable à l'utilisateur car binaire et simpliste. Il n’y a pas d'analyse comportementale de l'application ». Google veut-il changer la donne ? Visiblement non, Android 4.3 intégrait un panneau de contrôle de vue privée, qui a été retiré dans les versions suivantes.
La Cnil pointe du doigt le fait que le système de permission Android est trop complexe, trop grossier, trop défavorable à l'utilisateur car binaire et simpliste. Il n’y a pas d'analyse comportementale de l'application ». Google veut-il changer la donne ? Visiblement non, Android 4.3 intégrait un panneau de contrôle de vue privée, qui a été retiré dans les versions suivantes.
Pour tenter de faire face, la Cnil a publié sur Twitter deux courts modes d'emploi pour désactiver, au moins partiellement, le suivi publicitaire sur Android ou iOS. « On a essayé de décrire les chemins d'accès aux réglages. Il faut une certaine motivation pour les trouver » euphémise Geoffrey Delcroix, qui mentionne que Google et Apple ne « sont pas d'une créativité débordante sur ce sujet ».
Comment limiter le suivi publicitaire sur votre smartphone #android #mobilitics pic.twitter.com/ey8W53PXAT
— CNIL (@CNIL) 15 Décembre 2014
Côté bonne pratique, la Cnil recommande de limiter le chargement d’applications mobiles (sic), d’éviter de se connecter aux réseaux Wi-Fi publics, ou encore de s’assurer que les applications du téléphone sont bien fermées et ne tournent pas en tâche de fond. « La source la plus importante de données, ce sont les applications qui tournent en tâche de fond » précise à ce propos la Cnil. Et elles sont nombreuses à adopter ce principe.
Aucun commentaire:
Enregistrer un commentaire