AccuWeather géolocalise à tout prix ses utilisateurs

Florian Innocente |

Application de météo assez populaire, AccuWeather a été surprise en train de collecter et de transmettre plusieurs fois par jour des données de géolocalisation sur ses utilisateurs. Ceci, alors même que la demande d'autorisation, affichée via iOS, pour accéder à ces informations avait été déclinée.

Le hacker Will Strafach a constaté et détaillé ce problème. En plus de passer outre cette autorisation, l'app le faisait non pas pour fournir un bulletin météo plus précis mais à des fins publicitaires. Chose que ses conditions générales d'utilisation ne précisent pas.

C'est moins l'app Accuweather qui a été prise la main dans le sac que le SDK d'un éditeur tiers qu'elle intègre depuis peu, celui de Reveal Mobile. Cette entreprise agrège ces données anonymisées et les revend ensuite à ses clients.

Son SDK sait récupérer les coordonnées GPS ainsi que la vitesse de déplacement de l'utilisateur et son altitude, puis le nom et l'adresse Wi-Fi du point d'accès sans-fil auquel il était connecté et il peut vérifier si le Bluetooth est ou non activé. Dans ce cas il peut s'en servir lorsqu'une connexion Bluetooth est faite avec une balise, dans un magasin par exemple ou tout autre lieu équipé de ces bornes délivrant des informations.

Reveal Mobile s'est défendu auprès de ZDNet de chercher à traquer les déplacements des individus, mais plutôt de fournir à ses clients des contextes d'utilisation de leurs apps (dans tel lieu, tel magasin, etc). Reveal Mobile a néanmoins fait savoir qu'elle avait mis à jour son SDK pour qu'en cas de refus d'une géolocalisation par l'utilisateur, le Bluetooth ne soit plus sollicité. Quant à AccuWeather, il n'a pas fait montre d'une volonté de changer de partenaire.


avatar jojo5757 | 

Comment peut on passer outre l'interdiction de geolocaliser d'iOS ? C'est pas le système iOS qui bloque ? C'est la "confiance" ? La je pige pas...

avatar -Kadix- | 

@jojo5757

Oui flippant là. Ça veut dire qu’on a pas la main sur les infos transmises ou non ?

avatar fookmi | 

@jojo5757

Je pense que ce ne sont pas les données provenant du service de localisation qui sont utilisées, mais une position estimée grâce à l’adresse IP publique. En tout cas quand l’utilisateur a refusé l’accès de l’app à celui-ci.

avatar sxb | 

Sans cautionner ni défendre cet éditeur, en quoi les déplacements ainsi que la vitesse de ces derniers permettraient d'éventuels intérêts publicitaires ? Y'a un truc qui m'échappe là...

Et puis quelles données sont transmises ? La news est relativement évasive à ce propos.

avatar Domsware | 

@sxb

Ce qui importe ce n'est pas ce qui est transmit mais le fait que cela se fasse malgré le refus de l'utilisateur.

Quand à l'exploitation de ces données, va savoir. La vitesse de déplacement peut permettre de déduire le mode de déplacement ou bien d'anticiper la position future de l'utilisateur. En tout cas je ne doute pas de l'intérêt et de la valeur de ces informations.

avatar sxb | 

Effectivement, le fait de localiser quelqu'un tout en ayant désactivé l'option n'est pas correct (pour rester poli :p )

Mais au-delà de ça, l'application en elle-même n'est pas censée accéder à autre chose que des informations concernant la localisation. Donc, si les données exploitées vont au-delà de celles précitées, cela veut dire qu'Apple à également une grande part de responsabilité; pour ne pas dire une faille à combler et/ou un bug à corriger.

avatar Domsware | 

@sxb

Le SDK incriminé contourne les protections en place en effet.

Je suis développeur iOS et je suis grandement surpris que certains SDK – outils d'analyse du comportement de l'utilisateur ou autre – puissent passer la validation Apple.

avatar fransik | 

@Domsware

...toutes les applications utilisant ce SDK devraient alors logiquement être exclues de l'AppStore.
En attendant de montrer patte blanche s'entend.

Maintenant la position de AccuWeather me semble plutôt limite, pour un peu je me me demande si ils se soucient de la sécurité des données de leur utilisateurs: soient ils savaient, s'en fichent, et réagissent du coup mollement, où ils l'ignoraient, et ne comprennent pas/ ne veulent pas comprendre?

avatar marc_os | 

@fransik :
À mon avis AccuWeather savait pertinemment ce que fait ce SDK et c'est justement pour ça qu'ils l'ont utilisé !
Ça expliquerait leur mutisme à ce sujet.

avatar hogs | 

Le problème n'est pas la nature de la donnée mais les extrapolations et combinaisons qu'elles permettent.

Par exemple (purement fictif): tu te déplaces peu à faible vitesse dans un périmètre réduit dans un environnement donné, ce qui te rends comparable à l'ensembles des gens présentant les mêmes caractéristiques qui seraient sédentaires à l'excès et pour peu que l'on puisse croiser cela avec d'autre données, par exemple activité physique, habitudes alimentaires, etc, tu te verais refuser une assurance vie (ou tu la paierais bien plus chère) car tu serais catégorisé comme "à risque plus élevé" que quelqu'un présentant un autre profile.

Ou encore imagine que 100% des publicités qui te sont soumises dans les divers médias "activent" ta fibre d'achat compulsif car elles tapent de manière à viser tes plus grandes faiblesses. Tu n'auras plus réellement de libre arbitre car tu seras systématiquement sollicité là où tu n'arriveras plus à résister.

Ce n'est qu'un des multiples exemples possibles, malheureusement à côtés de tous les points positifs que cela pourrait amener dans la connaissance et le bien être, le côté négatif me fait bien plus peur...

avatar sxb | 

@A884126

Merci ! Cela dit l'article ne m'a pas convaincus. Les explications apportées me semble tirées par les cheveux, sauf si mon anglais me joue des tours; ce qui reste une probabilité :p

avatar ovea | 

D'ailleurs avec iOS et ses apps :
Facebook récupère les derniers articles consultés dans Amazone !!!

Comment cela est-ce possible ???

avatar daffyduuck | 

@ovea

Avec les cookies d’une régie publicitaire. Va voir dans réglages - Safari - avancées - données de site : tu trouveras tout tes cookies. Des noms de domaine que tu connais, d’autres qui te sont inconnus, dont des régies pub.

En gros sur le site Amazon, à chaque page ouverte un cookie est mis a jour sur ton ordi. Quand tu ouvre Facebook , la régie récupère ce cookie pour savoir quelles pages tu as consulté , et te balance ma pub qui va bien.

Tu remarqueras du coup que le phénomène disparaîtra si tu efface ces cookies et si tu utilise uniquement via les app Facebook et/ou Amazon, les apps n’ayant pas de droit d’accès aux cookies safari.

avatar ingmar92110 | 

@daffyduuck

Merci bcp précisions techniques très intéressantes!

avatar ovea | 

@daffyduuck

Justement, c'est bien le problème souligné dans ce cas :
il n'est question que de l'utilisation d'application iOS FaceBook et Amazone
et en aucun cas de Safari … d'où la question des cookies qui semble subsidiaire ?!?!

Après, le seul accès à Safari se fait pour sortir systématiquement de l'écosystème fermé FaceBook pour la consultation, l'export pour annotations d'articles.

Donc logiquement … Amazone n'a pas accès à Safari,
sinon par un détournement du mécanisme d'iOS permettant l'ouverture directe de l'application Amazone depuis Safari lors de la consultation d'un article …

La question serait alors de savoir comment, sinon en désinstallant/réinstallant Amazone et refuser ce mécanisme d'ouverture d'application d'iOS dans Safari ?

avatar r e m y | 

Juste le bluetooth qui n'est plus sollicité?
Par contre, position GPS, altitude, vitesse de déplacement... continuent à être collectés?

Ça mériterait une plainte et un procès en bonne et due forme un tel comportement!

avatar Adrienhb | 

Bon au final, cela fait une application à ne pas utiliser.

avatar Hugo | 

Du coup j'ai supprimé AccuWeather.

avatar Yohmi | 

Quand on pense à toutes les apps refusées pour des motifs peu clairs et pas nécessairement importants, tandis que là il y a clairement une infraction et une mise en péril de la confiance des utilisateurs envers l'appstore… je serais surpris que l'on n'en entende pas parler à nouveau assez vite ☺️

avatar ce78 | 

C'est FACEBOOK qu'il faudrait clouer au pilori. Eux ils pompent tout ce qu'il y a dans l'ordinateur ou le portable. J'en ai la preuve et c'est hallucinant.

avatar Domsware | 

Une petite histoire pour illustrer tout cela.

Il y a quelques années de cela je souhaitais faire la promotion de mes applications via Facebook. Payer pour qu'un encart promotionnel présente une application et amène l'utilisateur intéressé sur la page de l'AppStore adéquate.
Donc Facebook est doublement gagnant : d'une part je paye la promotion et d'autre part Apple reverse une commission d'affiliation à Facebook sur l'achat éventuel de ladite application mais aussi de tous les achats effectués sur l'AppStore durant un laps de temps donné (quelques minutes).

Bon. Et bien pour que cela soit possible, la création d'une promotion sur Facebook, j'étais obligé d'installer et d'activer le SDK Facebook sur les applications que je souhaitais promouvoir ! Donc installer un code qui est une boîte noire pour moi et dont je ne connais absolument pas le fonctionnement, j'y reviens après, et activer au moins un appel à une fonctionnalité de ce code à chaque lancement de l'application !
Ce qui veut dire en simplifiant, envoyer des données de l'utilisateur de mon application à Facebook à chaque lancement. Quelles données ? Je n'en sais rien.
Car le code du SDK de Facebook peut bien être disponible sur GitHub par exemple, il m'est impossible de savoir ce qu'il fait exactement sans une analyse poussée qui nécessite du temps et des compétences spécialisées. Et sachant que cette analyse doit être menée à nouveau à chaque mise à jour du SDK.
Bref, cela revient à mettre un espion dans le code de mon application.

Donc, au final j'ai renoncé car cela va à l'encontre de mes convictions.

avatar ovea | 

@Domsware

Beau témoignage, merci ?

avatar EBLIS | 

Cette même app existe sur les montre GPS de running. Je suppose qu'ils ne se sont pas gênés pour faire la même chose.

CONNEXION UTILISATEUR