Android : deux applications sur trois récupèrent des données personnelles à l'insu des utilisateurs, selon une enquête de la CNIL
La Commission Nationale de l’Informatique et des Libertés (CNIL) a publié les résultats d’une enquête menée conjointement avec l’Institut de recherche Inria qui s’intitule « Mobilitics saison 2 : nouvelle plongée dans l’univers des smartphones et de leurs applications ». L’objectif de cette étude est de comprendre l’écosystème des smartphones, notamment comment les applications se comportent avec les données des utilisateurs.
Les deux acteurs ont, d’entrée de jeu, définis leurs tâches : « pour la CNIL, il s’agit de mieux comprendre ce qui se passe réellement lors de l’usage de ces appareils, pour définir des priorités d’action et émettre des recommandations. Pour Inria, il s’agit aussi de pousser plus loin les investigations et analyses techniques et de développer des solutions permettant de mieux protéger les utilisateurs ».
« Mobilitics saison 2 » apporte donc un complément d’informations sur une saison 1 qui a été réalisée l’année dernière et dont les résultats qui ont été publiés en avril 2013 concernaient l’écosystème iOS, le système d’exploitation des iPhone et iPad. Cette fois-ci c’est au tour de l’écosystème Android de passé au crible de la Commission. Au total, 121 applications tournant sur Jelly Bean (qui regroupe les moutures 4.1.x, 4.2.x et 4.3) ont été analysé contre 189 sur iOS 5.
Selon cette étude, deux applications sur trois récupèrent des données personnelles à l’insu des utilisateurs. A ce propos, l’étude souligne « qu’entre un quart et un tiers des applications présentes sur les différents appareils des vagues 1 (iOS) et 2 (Android) ont eu accès à la localisation de l’appareil ». Geoffrey Delcroix, chargé d’étude pour la Cnil, explique que « ce chiffre n’est en soi ni choquant ni surprenant : de nombreuses applications ont des raisons légitimes d’accéder à la position géographique de l’appareil, que ce soit par le GPS ou grâce à la détection des antennes du réseau cellulaire ou des bornes wifi entourant l’appareil. Sur l’ensemble des applications testées, la très grande majorité avait au moins une fonction accessoire utilisant la géolocalisation ».
Cependant, il note que « le plus surprenant est surtout l’intensité et la fréquence d’accès à cette information par certaines applications. Par exemple, sur une période de 3 mois, une application a accédé plus de 1 million de fois à la géolocalisation et une deuxième application plus de 700 000 fois. Cela représente en moyenne près d’un accès par minute sur une période de 3 mois… Et pourtant il ne s’agissait pas d’applications de navigation ou d’itinéraire ». Notons que, selon les statistiques, la géolocalisation représente en volume la donnée la plus collectée ; à elle seule, elle a représenté plus de 30% des évènements détectés par les outils des chercheurs « sans être toujours liée à des fonctionnalités offertes par l'application ou à une action de l'utilisateur ». Il est bien là le hic.
La Commission a quand même précisé que « rien ne permet d’affirmer que les éditeurs récupèrent en permanence ou périodiquement (« par paquets ») cette information : elle peut n’être collectée que pour être utilisée dans l’appareil par l’application », même si rien ne permet non plus d’affirmer le contraire.
Après la géolocalisation, c’est au tour de « la course aux identifiants » d’être pointé du doigt. Dans la première édition, l’étude avait établi que près d’une application sur deux avait accédé à un identifiant unique alphanumérique de l’appareil appelé UDID (Unique Device Identifier) mais également que 40 % de celles qui y ont eu accès l’avaient envoyé « en clair » (c’est-à-dire sans le chiffrer) sur le réseau. L’étude rappelle qu’à l’époque, toutes les applications pouvaient accéder à l’identifiant, mais Apple a entrepris de limiter l’accès à cette donnée tout en créant les identifiants Advertising identifier, identifiant dédié à la publicité, et l’Identifier for vendor, qui est unique pour chaque éditeur d’application. Même son de cloche chez Google puisqu’Android a opté pour une logique similaire. Sur les deux écosystèmes, les utilisateurs disposent de réglages pouvant limiter le suivi publicitaire. Sur les iPhones, il faut se rendre dans les réglages de confidentialité, accéder à l’option « publicité » et activer le suivi publicitaire limité. Sur Android, l’opération ne figure pas dans les réglages du téléphone mais dans l’application « Paramètres Google » où il faudra activer une option « désactiver annonces par centres d’intérêt ».
«Si les traductions techniques de ces réglages sont différentes, nos tests montrent toutefois que la coexistence de nombreux identifiants facilite grandement les possibilités de contournement de ce type de cloisonnement », affirme Geoffrey Delcroix qui poursuit en disant que « les applications testées utilisent une grande diversité d’identifiants qui pourraient servir à enrichir leurs moyens de suivi de l’utilisateur». Sur un téléphone utilisateur où étaient installées 58 applications, 23 d’entre elles ont accédé à l’Android_id (identifiant persistant comparable à l’UDID d’Apple), 18 ont accédé à l’IMEI (identifiant permettant notamment de bloquer un terminal en cas de perte ou de vol), 10 ont accédé à l’IMSI (identifiant unique stocké dans la carte SIM pour permettre à un opérateur d’identifier un abonné), 5 ont eu accès au numéro de téléphone.
En définitive, « ce travail a confirmé la nécessité pour la CNIL de rester vigilante vis-à-vis de l’information des utilisateurs et des outils de maîtrise des données personnelles mis à disposition par les systèmes d’exploitation et les éditeurs d’applications ». D’ailleurs, concernant les utilisateurs, elle indique qu'ils « devraient disposer de meilleurs outils de contrôles et de paramétrage des données personnelles, et les utiliser ». Aussi, la CNIL souhaite que « l'ensemble des acteurs de l'écosystème (éditeurs d'application, éditeurs des systèmes d'exploitation et responsables des magasins d'applications, tiers fournisseurs de services et d'outils) prenne la juste mesure de leurs responsabilités respectives pour améliorer l'information et les outils de maitrise des données personnelles ».
Source : CNIL