Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

Comment Android et ses apps aspirent les données de votre smartphone

Android et ses apps n’ont de cesse d’accéder aux données des utilisateurs mobiles. La Cnil et Inria ont étudié l’ampleur du phénomène et en ont démonté les mécanismes. Objectif : informer les utilisateurs et convaincre les acteurs du mobile.
Twitter Facebook Linkedin Flipboard Email
×

Comment Android et ses apps aspirent les données de votre smartphone
Comment Android et ses apps aspirent les données de votre smartphone © nrkbeta - Flickr - C.C.

Androïd, iOS et leurs apps récupèrent les données des utilisateurs de mobiles, souvent à leur insu du fait du manque de transparence ou de règles trop compliquées. Rien de très étonnant dans cette conclusion de l’étude Mobilitics menée en 2014 par la Cnil et Inria et terminée cet été.

Mais tout l’intérêt de la démarche réside dans l’observation à la loupe, et en conditions réelles d’utilisation, de la façon dont ces acteurs du mobile récupèrent les précieuses informations de leurs clients ainsi que de la difficulté pour ces derniers à en avoir connaissance ou à éventuellement s’y opposer. "Cela reste une boîte noire pour les utilisateurs, et plus grave encore, pour les régulateurs et des organismes comme le nôtre," s’inquiète Isabelle Falque-Pierrotin, présidente de la Cnil.

Les éditeurs d’OS, maîtres du jeu

Pour cette étude, 10 volontaires ont utilisé durant 3 mois un smartphone sous Android équipé d’un logiciel de traque développé par Inria. Celui-ci retrace tous les échanges de données réalisés par Android ou par les 121 apps installées par les utilisateurs (choisies en toute liberté par ces derniers). Une même expérience avait été menée avec sept utilisateurs d’iPhone en 2013 sur 189 apps, permettant une comparaison des deux écosystèmes.

La Cnil et Inria tirent trois conclusions principales de leurs travaux. Pour commencer, les éditeurs de systèmes d'exploitation (OS) sont les maîtres du jeu car ils en définissent les règles, interviennent dans les couches intermédiaires et installent d’office certains services et certaines apps parfois extrêmement gourmandes en données.

La chasse aux identifiants

Deuxième constat, comme sur le web, les éditeurs du monde mobile sur Android comme sur iOS cherchent par tous les moyens à tracer l’utilisateur et se livrent à une course aux identifiants. Ce sont les divers éléments qui permettent à l’app de connaitre le plus précisément possible l’utilisateur de l’appareil.

Il s’agit par exemple du numéro de série (IMEI), de l’IMSI qui désigne l’opérateur télécoms, de l’adID réservé aux publicités, ou encore de la très précieuse adresse Wi-Fi Mac qui permet de suivre les connexions Wi-Fi successives, voire du numéro de téléphone. Durant le test de trois mois, 63 % des apps ont eu accès à au moins un de ces identifiants (26 % à 2 identifiants, 17 % à 3 identifiants et 7 % à 4 identifiants).

La géolocalisation, Graal des données

Enfin, dernier constat, la géolocalisation fait désormais office de Graal des données. Durant les 3 mois de l’expérience, entre un quart et un tiers des apps ont eu accès à cette information et certaines l’ont fait plus de 150 000 fois ! L’étude note d’ailleurs que tous ces comportements convergent entre mondes Apple et Google, mais iOS se révèle - sans surprise - plus fermé et plus administré, alors qu’Android est plus ouvert. Qualité ou défaut ? Difficile de trancher. Apple permet par exemple à l’utilisateur de gérer l’accès à sa localisation app par app quand Android ne propose cette démarche que pour l’ensemble du smartphone.

Informer le public et dialoguer avec Google et Apple

Les deux études devraient avoir deux rôles principaux. D’abord didactique à destination du grand public. La Cnil devrait publier des conseils et des tutoriels sur son site pour expliquer des choses aussi simple que : mieux vaut ne pas télécharger une app dont on n’aura sans doute pas besoin car la majorité des données sont récupérées dans les 15 premières secondes après téléchargement ou comment fermer les apps dont on ne servira plus dans les minutes ou heures à venir, car elles continuent de prélever des informations même si on ne les utilise pas.

Par ailleurs, Inria a aussi exploré les modalités d’accès aux paramètres de géolocalisation ou aux différents identifiants. Elle devrait aussi partager avec le public ce qui s’apparente parfois à de véritables parcours du combattant. Enfin, pour ce qui est de l’accompagment du public, à la question "pourriez-vous proposer une app Cnil qui donnerait des moyens simples d’accès à tous ces paramétrages que l’Inria a recensés ?" Isabelle Falque-Pierrotin répond aussi : "pourquoi pas. Oui, pourquoi pas."

Des outils pour convaincre les grands acteurs

Ces travaux représentent par ailleurs des outils d’approche de géants comme Apple ou Google. La Cnil aimerait par exemple que les acteurs du mobile prennent en considération ce qu’elle nomme "privacy by design". Cette démarche demanderait aux éditeurs de prendre en compte les notions de vie privée et de protection des données dès la conception d’un OS ou d’une app.

Les études Mobilitics lui permettent de mettre un pied dans la porte chez les géants pour évoquer ce sujet, avec des arguments très concrets. "Ils étaient jusque-là plutôt distants, mais progressivement ils s’inscrivent dans des stratégies d’écoute et se rapprochent de nous, remarque Isabelle Falque-Pierrotin. Nous leur expliquons que c’est aussi dans leur intérêt de construire leurs outils de façon plus modeste." Après sa première étude Mobilitics consacrée à iOS, la Cnil a ainsi convaincu Apple au moins de réfléchir en amont sur les nouvelles versions du système. Et elle tente la même approche avec Google.

Emmanuelle Delsol

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale