La CNIL s'intéresse à la curiosité des apps Android
Collecte de données personnelles et suivi des utilisateurs… la CNIL a publié la « saison 2 » de Mobilitics, son étude sur le comportement des apps dans nos smartphones. Des observations rendues possibles avec une app mise au point par l'Institut national de recherche en informatique et en automatique [PDF & infographie]. En avril 2013, la Commission Nationale de l'Informatique et des Libertés et l'INRIA avaient publié une étude menée depuis la fin novembre avec iOS 5. Cette fois, les six volontaires de la CNIL ont utilisé Android 4.3 "Jelly Bean" entre juin et septembre dernier ainsi que 121 applications.
Identifiants
Le premier constat dressé est l'appétit des apps pour collecter différents identifiants : celui lié à la publicité, le numéro de téléphone de l'utilisateur, celui de la carte SIM, l'adresse MAC de la puce Wi-Fi, etc. Toutes les apps ne vont pas bien sûr aller chercher l'intégralité de ces éléments. Un testeur avec 58 apps installées en a vu 5 s'intéresser à son numéro de téléphone. Mais il arrive qu'elles en croisent plusieurs. Le plus gênant est lorsqu'une app pioche dans ces informations alors qu'elles ne lui servent en rien dans son fonctionnement.
Tant Apple que Google ont limité l'usage du numéro d'identification du téléphone et permettent de purger le numéro d'identification publicitaire qui l'a remplacé. Il faudra aller dans les réglages d'iOS pour le faire. Le chemin n'est pas trop compliqué à trouver quoi qu'en dise la CNIL (par contre Apple parle toujours "d'iOS 7" dans l'explication associée à la fonction…). Sur Android il faut aller non pas dans les réglages du système comme on pourrait s'y attendre mais dans les paramètres de l'app Google.
Géolocalisation
Un tiers des apps testées dans le lot pour Android a utilisé la géolocalisation de l'utilisateur. C'est l'information qui a été la plus populaire dans l'échantillon. Que cette donnée soit souvent demandée n'a rien d'anormal au vu des services que rendent les applications aujourd'hui, temporise la CNIL. Mais il y a tout de même des cas très étonnants, des apps qui gélolocalisent à tout va, qu'on soit ou non en train de les utiliser.
Le plus surprenant est surtout l’intensité et la fréquence d’accès à cette information par certaines applications. Par exemple, sur une période de 3 mois, une application a accédé plus de 1 million de fois à la géolocalisation et une deuxième application plus de 700 000 fois. Cela représente en moyenne près d’un accès par minute sur une période de 3 mois… Et pourtant il ne s’agissait pas d’applications de navigation ou d’itinéraire.
Dans de telles situations on peut se demander à quel point ces relevés sont réellement associés à des besoins de l'application ou peut-être, à la rigueur, un défaut de conception, s'interroge la CNIL. Mais cela va à l'encontre du respect de la vie privée (en plus de ponctionner la batterie des téléphones).
S’agit-il d’un problème de mauvaise optimisation des commandes de l’application (qui n’auraient alors pas été pensées pour réduire la collecte de cette donnée à ce qui est utile, mais la rendraient au contraire permanente « au cas où »), ou bien certaines applications chercheraient-elles à acquérir des informations riches sur l’ensemble des localisations d’une personne, en dehors de tout lien avec les fonctionnalités premières de l’application ?
Là-aussi la vigilance s'impose, insiste la CNIL, car une base de données très riche en pointages de géolocalisation permet d'en apprendre beaucoup sur la vie quotidienne de l'utilisateur. La CNIL pointe à ce propos l'amélioration apportée par iOS 8. On peut décider si l'app a le droit de géolocaliser en permanence ou uniquement lorsqu'elle est à l'avant plan « ce qui va dans le bon sens du point de vue de la granularité des réglages ».
OS et App Stores
Il n'y a pas que les apps d'éditeurs tiers qui collectent beaucoup. Celles installées par défaut par Google travaillent tout autant et sans être soumises au même régime de prévention.
L’application-widget « Actualités et météo » a accédé 1 560 926 fois à la localisation de l’utilisateur pendant les trois mois de l’expérimentation. Cette application a aussi communiqué 341 025 fois avec internet.
Ce qui fait pas moins de 17 300 sollicitations de la position de l'utilisateur par jour… Problème, dès lors qu'elles sont préinstallées ces apps ne proposent pas d'avertissement et de demande d'autorisation à leur premier lancement, comme doivent le faire les autres applications. Difficile alors pour l'utilisateur d'exercer un contrôle sur ce qu'elles font.
Cette étude a ses limites, la CNIL en convient elle-même. L'échantillon n'est que de six personnes seulement et 121 apps mises à l'épreuve c'est aussi une goutte d'eau face à ce que proposent les App Stores. Reste que ces observation dépeignent une certaine réalité quotidienne. En conclusion, la CNIL en appelle aux éditeurs de systèmes d'exploitation à continuer leurs efforts vers plus de transparence et aux éditeurs à prendre également leurs responsabilités « Les développeurs et éditeurs d’application doivent quant à eux adopter une approche de privacy by design et notamment minimiser les données en s’interdisant la collecte des données qui ne sont pas liées au service rendu par l’application ».
Si seulement la CNIL pouvait inciter, voir imposer, à Google de mettre en place une interface permettant à l'utilisateur d'autoriser ou interdire chacune des permissions. Ainsi qu'une demande systématique d'autorisation la première fois qu'une app demande une autorisation particulière (et non au global au téléchargement tel que c'est fait aujourd'hui).
Bref, faire ce qu'Apple permet dans iOS depuis longtemps, permettre à l'utilisateur de contrôler de façon fine les permissions des applications.
Oui sauf que ça priverai google de son gagne pain, on crache pas dans la soupe ^^
Mais oui c'est inquiétant que les apps pré installés chez Google localisent autant ...
oui enfin applications ou pas , Google ou pas , le simple fait d'avoir son téléphone allumé sur soi , suffit à être espionné
@alan1bangkok
Tu veux dire qu'il ne faut rien faire ???
Peut être voulait il dire que l'on devrait commencer par moins les connecter au réseau mobile, voire ne pas en utiliser ou au moins remettre en cause leurs "nécessités" au nom du confort par rapport à d'autres aspects.
@alan1bangkok :
Ce n'est pas une raison pour ne pas avoir la possibilité d'en limiter l'étendue.
Ce matin Europe 1 faisait une débat sur ce sujet.
En pratique, j'ai trouvé une seule application pour laquelle on ai les choix entre "toujours" et "en marche" en plus de "jamais". Dans tous les autres casles applis, y compris celles d'Apple, notre proposent que "toujours" ou que "en marche". Et dans de nombreux cas, je trouve que"toujours" est exagéré, alors que "en marche" devrait suffire aux besoins de l'application.
Même si je ne suis pas vraiment étonné par ce résultat, je trouve quand même que l'échantillon qui a servit à la CNIL pour tirer ses conclusions est quand même ridiculement petit. Comment pourrait on tirer une conclusion pertinente sur un écosystème aussi vaste avec si peu d'application et d'utilisateur ?
Ça me parait vraiment pas sérieux.
@alan1bangkok
En parlant de pertinence... T'as même pas besoin de téléphone pour être espionné, au moins par l'État. Le problème ce n'est pas de savoir si tu veux être espionné mais par qui et dans quelles conditions. En l'occurence, dans le cas qui nous préoccupe c'est par absolument n'importe qui et sans la moindre limite.
à mon age , ca ne pré-occupe plus du tout, mais je comprends les interrogations.
Et ca risque d'être de pire en pire
@alan1bangkok
T'as pas d'enfants, de neveux ou des enfants d'amis dont tu aimerais autant que possible protéger la vie privée ?
Qui sait ce que des organismes privés pourraient faire de ces données ?
Ne pas se poser la question me parait totalement irresponsable, pour soi comme pour les générations à venir.
je me suis libéré de tout principe de précaution obsédant.
Je préfére être occupé à vivre
Sur Android il paraîtrait qu'une solution existe mais il faut rooter son téléphone ou tablette pour cela. Ce que bon nombre de gens ne savent pas faire etc. Mais c'est vrai que c'est hallucinant le nombre d'autorisation d'accès que certaines applications demandes. Notamment accès au photo, contact, historique d'appels et j'en passe
Alors que c'est juste des applications de types jeux par exemple qui demandent ce type d'infos. Pareil lorsque j'ai voulu utiliser par exemple le système Wallet de Google en y liant ma CB. Google m'avait demandé de leur fournir mon adresse, une copie d'une pièce d'identité etc. Alors que je voulais juste y lier un moment de paiement. Bref Android, je le défend de temps en temps.
Mais les autorisations des Apps m'a rebutés. Et au final sur la tablette il n'y aucune information perso dessus, juste une tablette pour le jeu.
Certes le système mise en place sur IOS n'est pas mal, on n'a pas trop le choix suivant les Apps. Parfois tel ou tel choix n'est pas dispo alors qu'il l'est sur une autre: on a "Jamais", "Toujours", "En Marche"
Il y a pas mal de solutions sur Android, comme : AdBlock Edge pour Firefox, HTTPS Everywhere pour Firefox, protection des données de CyanogenMod, XPrivacy (root), AFWall (root), AdAway (root), Autostarts (root), Orbot et Orweb.
Sur Windows Phone lors de l'installation d'une application l'autorisation de demander pour la localisation si on refuse l'application n'est pas installé. Il faut ensuite aller désactivé Le service de localisation d'un coup.
il faudrait plutôt comptabiliser les données qui sont récupérées mais non nécessaire à l'application.
Faudrait aussi refaire l'étude pour iOS 8
Question:
Si je fais une App qui contient de la pub, est-ce que la pub a elle même accès a des informations que mon App n'a pas demandées, je dirais que sur iOS je ne vois pas comment la pub pourrait le faire, par contre, sur un système ouvert, ca doit être relativement plus facile.