70 % des applications mobiles partagent vos données avec des services tiers
70 % des applications mobiles possèdent au moins un tracker qui est associé à un service tiers qui peut faire du profilage publicitaire ou de la collecte de données.
Nos téléphones révèlent beaucoup de choses sur les gens. Où ils vivent et comment ils travaillent. Qui sont leurs amis, leurs familles et leurs connaissances et comment ils communiquent avec eux. Avec les nombreuses informations sensibles, il n’est pas étonnant que les utilisateurs protègent leurs téléphones avec des codes PIN ou des mots de passe pour les verrouiller.
« La recherche que nous avons développée montre une menace plus significative qui est négligée par de nombreuses personnes. 70 % des applications de Smartphone collectent des données personnelles et les envoie à des entreprises tierces comme Google Analytics, l’API de Facebook Graph ou Crashlytics. » –Haystack Project de l’ICSI (International Computer Science Institute)
Quand une personne installe une application Android ou iOS, celle-ci va demander la permission de l’utilisateur avant d’accéder à l’information. Et c’est un point positif, car les applications ont besoin de certaines informations pour fonctionner. Une application de cartes géographiques ne serait pas utile si elle ne pouvait pas utiliser le GPS pour avoir la localisation. Mais une fois que l’application a obtenu la permission, elle peut partager vos données avec toutes les entités autorisées par le développeur et ainsi, vous avez des entreprises tierces qui sauront pratiquement tout de vous.
L’utilité et le danger des librairies de code
Une application ne collecte pas uniquement les données pour l’utiliser sur le téléphone. Les applications de cartographie vont envoyer vos coordonnées GPS à un serveur du développeur pour calculer les directions et votre destination. Mais l’application peut envoyer également des données sur d’autres emplacements. Comme les sites web, de nombreuses applications mobiles sont codées en combinant de nombreuses fonctions qui ont été écrites par d’autres développeurs et entreprises qu’on connait comme les librairies tierces. Ces librairies permettent aux développeurs de connaitre l’engagement de l’utilisateur, de se connecter sur les réseaux sociaux ou de gagner de l’argent avec la publicité sans avoir besoin d’écrire ces fonctions.
L’interface de l’application Lumen
Cependant, pour que l’échange soit gagnant, la plupart des librairies collectent des données sensibles et elles les envoient à des serveurs en ligne ou à une autre entreprise. Et les bons développeurs de librairie peuvent obtenir ainsi un profil publicitaire détaillé. Par exemple, une personne peut autoriser une application à connaître sa localisation et une autre application va accéder à ses contacts. Ce sont des permissions différentes pour chaque application. Mais si les deux applications utilisent la même librairie tierce et qu’elle partage des informations différentes, alors le développeur de la librairie pourrait les associer ensemble.
Et les utilisateurs ne le sauront jamais, car les applications n’informent pas les utilisateurs sur les librairies utilisées. Et très peu d’applications proposent une politique de vie privée ou de leurs conditions d’utilisation. Et même s’ils existent, ce sont des documents juridiques qui sont conçus pour être illisibles pour les utilisateurs lambda.
Développer Lumen
Cette recherche voulait démontrer la quantité de données collectées sans le consentement de l’utilisateur afin de permettre de mieux contrôler le flux de donnée. Pour avoir une image des données collectées et transmises depuis les téléphones des utilisateurs, il a été développé une application Android gratuite appelée Lumen Privacy Monitor. Elle analyse le trafic envoyé depuis les applications pour identifier les applications et les services en ligne qui collectent les données personnelles.
L’explication de l’application Lumen sur une collecte de données
Étant donné que Lumen concerne la transparence, l’utilisateur peut voir les informations collectées dans ses applications en temps réel et il peut identifier la destination de ces informations. Il s’agit d’une tentative de montrer les détails du comportement caché de l’application dans une manière intuitive. Et comme cela concerne également la recherche, les utilisateurs ont été demandés s’ils permettaient de collecter les données observées par Lumen sur leurs applications, mais qui n’incluent pas des informations personnelles. Cet accès unique aux données permet d’étudier comment les applications mobiles collectent les données personnelles et les entités qui profitent de ces informations.
En particulier, Lumen garde la trace des applications qui tournent sur les appareils. L’application identifie les données privées envoyées du téléphone, les sites qui collectent ces données, le protocole de réseau utilisé et les types d’informations envoyés à chaque site. Lumen analyse localement le trafic sur l’appareil et il les anonymise avant de les envoyer. Si Google Maps enregistre la localisation GPS d’un utilisateur et envoie cette adresse à maps.google.com, alors Lumen dira : Google Maps a obtenu la localisation GPS et l’a envoyé à maps.google.com, mais elle ne dira pas l’identité de la personne.
Les Trackers sont absolument partout !
Plus de 1.000 personnes ont utilisé Lumen depuis octobre 2015 ce qui a permis d’analyser plus de 5.000 applications. Ils ont été découverts 598 sites internet qui pistent les utilisateurs pour la publicité incluant des réseaux sociaux comme Facebook, Google et Yahoo sans oublier les entreprises de marketing des FAIs comme Verizon. Il a été découvert que 70% des applications étudiées se connectent au moins à un tracker et 15% se connectent au moins à 5 trackers. Un Tracker sur quatre collectait l’identifiant unique de l’appareil tel que le numéro de téléphone ou le numéro d’IMEI.
Les identifiants uniques sont cruciaux pour la collecte de données, car ils peuvent associer différents types de données personnelles par des applications différentes à une seule personne ou appareil. La plupart des utilisateurs, même ceux qui connaissent les dangers de la surveillance, ignorent ces pratiques cachées.
C’est bien pire que le problème du mobile
Le fait de tracker les utilisateurs sur leur mobile est une partie du problème. Mais plus de 50% des trackers identifiés surveillaient les utilisateurs via les sites. Cette technique, connue comme le Cross-Device, permet à ces services de créer un profil complet de votre identité numérique.
Et les sites de tracking ne sont pas forcément indépendants. Certains appartiennent à la même entreprise et d’autres pourraient être rachetés dans le futur. Par exemple, Alphabet, l’entreprise mère de Google, possède plusieurs sites qu’ont été étudiés incluant Google Analytics, DoubleClick ou AdMob. Ces 3 services sont responsables du tracking de près de 48 % des appareils étudiés.
Les transferts de donnée observés entre les localisations des utilisateurs de Lumen (gauche) et les localisations des serveurs de librairies tierces (droite). Ca passe par le monde entier
Et les identités numériques des utilisateurs ne sont pas protégées par les lois de leur pays. Il a été trouvé une circulation des données à travers les frontières et elles atterrissaient souvent dans des pays avec des lois sur la vie privée douteuse. Plus de 60% des connexions des sites de tracking concernent des serveurs aux États-Unis, au Royaume-Uni, en France, à Singapour, en Chine et en Corée du Sud et 6 de ces pays pratiquent la surveillance de masse. Les agences gouvernementales dans ces pays peuvent accéder à ces données même si les utilisateurs se trouvent dans des pays qui possèdent de bonnes lois sur la vie privée tels que l’Allemagne, la Suisse ou l’Espagne.
Encore plus inquiétant, des trackers ont été observé dans des applications destinées aux enfants. En testant 111 applications pour enfant, 11 d’entre eux collectaient un identifiant unique, l’adresse MAC et le routeur Wifi auxquels ils étaient connectés. C’est un problème, car il est facile de trouver l’adresse physique avec les adresses MAC. Le fait de collecter les données privées sur les enfants viole potentiellement les règles de la FTC (La Federal Trade Commission) sur la vie privée des enfants.
Le service Wigle permet de connaitre une adresse physique à partir de l’adresse MAC
Gratter la surface de la surveillance de masse sur les applications mobiles
Même si nos données incluent de nombreuses applications Android populaires, ce n’est qu’un petit échantillon d’utilisateurs et d’applications et donc, on a également une faible idée de tous les trackers sur le marché. Nos résultats grattent à peine la surface d’un problème plus large qui s’étend sur les juridictions, les appareils et les plateformes.
Et il est difficile de dire comment les utilisateurs peuvent se protéger contre ces trackers. Si on bloque les informations sensibles, alors cela peut pénaliser l’expérience d’utilisateur et la performance de l’application. Une application peut refuser de fonctionner si elle n’affiche pas des publicités. Le blocage de la publicité pénalise la source de revenus des développeurs, car ces derniers proposent souvent gratuitement leurs applications.
Si les gens étaient prêts à payer les développeurs pour les applications, cela pourrait être un début de solution. Les applications payantes collectent des informations personnelles sur les utilisateurs même si c’est moins grave que les applications gratuites. La transparence, l’éducation et des législations fortes sont les principales solutions. Les utilisateurs ont besoin de connaître les informations qui sont collectées sur eux, par qui et pour quel but. Et seulement ensuite les gens pourront décider des protections de la vie privée à mettre place. Ces résultats et ceux d’autres chercheurs permettent de rendre la monnaie de leur pièce en surveillant désormais ceux qui surveillent les gens à leur insu depuis des années.
yogaesoteric
10 octobre 2017
Also available in: English