Les applications Android ont accès aux données personnelles sans autorisation

05/12/17 à 10:28 - Mise à jour à 10:19

Source: The Guardian

Google collecte les données de localisation et données personnelles sur les smartphones à l'insu de ses utilisateurs depuis janvier. Le Yale Privacy Lab et Exodus Privacy ont analysé la situation et répertorié une série des applications incriminées.

Les applications Android ont accès aux données personnelles sans autorisation

© Getty Images

Des chercheurs de sécurité au Yale Privacy Lab, situé à New Haven dans l'État du Connecticut, affirment que plus de trois applications sur quatre contiennent des trackers tiers. Concrètement, le tracker est un élément logiciel en charge de collecter, stocker, voire d'envoyer des données concernant l'identité d'un utilisateur ou son activité.

D'après le site d'information spécialisé en ligne Zdnet, la collecte de données aurait commencé en janvier, suite à la mise à jour de Firebase Cloud Messaging, un service de messagerie et de notifications appartenant à Google. Celui-ci serait intégré par défaut dans tous les smartphones Android.

Que font les entreprises de ces données?

Bien que les utilisateurs approuvent les règles d'utilisations par défaut à chaque téléchargement d'une appli, ils ne sont cependant pas au courant de ce qu'on fait de leurs données, ni quels accès les applications y ont réellement. Une enquête du site d'information Quartz révèle que la géolocalisation du smartphone est disponible à tout moment, même lorsque l'utilisateur désactive le service. Google collecterait donc les adresses des antennes de téléphonie mobile environnantes avant de les transférer sur ses serveurs, ce qui permettrait à l'entreprise de savoir précisément où est chaque utilisateur à n'importe quel moment. Un procédé qui ne semble pas encore très clair d'un point de vue juridique.

Un porte-parole de Google explique à Quartz que "la collecte d'adresses d'antennes est effectuée afin de gérer les notifications push et les messages sur les téléphones Android". L'entreprise californienne affirmerait cependant ne pas conserver ni utiliser ces données personnelles.

En Europe, ces données sont considérées comme sensibles par les autorités de protection de la vie privée. D'après Zdnet, les pratiques de ce géant de la publicité ont d'ailleurs déjà valu à la firme américaine de nombreuses sanctions.

Par ailleurs, l'intérêt de Google pour les données de localisation n'est pas un secret, de nombreuses applis couramment utilisées requièrent de l'utilisateur qu'il active la géolocalisation.

Exodus Privacy: plateforme qui détecte les trackers et leurs fonctionnalités

L'étude du laboratoire de Connecticut a été renforcée par Exodus Privacy, une plateforme libre française fondée il y a 3 mois. Cette association est composée de spécialistes en informatique qui défendent les valeurs des libertés individuelles et du droit à la vie privée sur les technologies numériques. Elle a créé un rapport d'analyse qui indique les trackers présents dans les applications Android et énumère précisément ce que chacune d'entre elles a le droit de faire sans nécessiter l'approbation des utilisateurs.

Les applications Android ont accès aux données personnelles sans autorisation

© Prise d'écran

Ces rapports ont été rendus publics fin novembre: 375 rapports publiés cataloguant 44 trackers au départ. Une liste qui ne fait qu'augmenter, répertoriant de plus en plus d'applications et mis à jour régulièrement en ajoutant de nouveaux trackers ou "permissions". A ce jour, 495 rapports disponibles et 64 trackers. Les applications les plus populaires sont passées au crible: Spotify, TripAdvisor, Instagram, Uber, VLC, WhatsApp et même des applications bancaires telles que celle d'ING.

Snapchat disposerait de 4 trackers et 32 permissions. C'est-à-dire que l'application possède des trackers qui collectent les données à des fins techniques (mise à jour, correction des bugs, évaluation de l'audience), mais également à des fins marketing. Il faut bien garder à l'esprit que la plupart du temps, "si c'est gratuit, vous êtes le produit". Le but est d'en savoir le plus possible sur le consommateur et ses besoins afin de cibler ses habitudes de consommation et d'influencer leur comportement via la publicité.

Amazon Shopping contiendrait 1 tracker et 46 permissions. "Permission" signifiant que l'application est en droit d'accéder à tout moment à certaines fonctionnalités du téléphone sans le consentement de l'utilisateur. Par exemple, il pourrait allumer le micro ou la caméra du smartphone sans que cela ait été approuvé. Pire encore: selon Exodus, certaines applications pourraient également accéder aux messages. "Allows the app to receive and process SMS messages. This means the app could monitor or delete messages sent to your device without showing them to you" est ainsi indiqué sur la plateforme lorsque l'on recherche parmi les permissions d'Amazon Shopping.

Les applications Android ont accès aux données personnelles sans autorisation

© prise d'écran

Bien que ce soient des méthodes habituelles très utilisées sur le net, le smartphone est doté de fonctionnalités multimédias avancées et truffé de capteurs tels que GPS, accéléromètre, gyromètre, magnétomètre, capteurs de pression, de proximité, de lumière ambiante, etc., ce qui le rend encore plus performant qu'un ordinateur. De plus, sur un ordinateur il est possible d'installer sur internet des extensions de blocages (Adblock Plus, Disconnect, Privacy Badge) qui permettent justement d'éviter ces prises de données.

Preuve à l'appui, il ne reste plus qu'à se rendre sur la plateforme d'Exodus Privacy afin de vérifier les applications concernées.

Bien que les chercheurs de Yale n'aient pas examiné le cas des applications iOS, la compagnie avertit que la situation n'est sans doute pas meilleure sur l'App Store d'Apple.

Amaurine Plat

Nos partenaires