Sensor Tower, une des sociétés d'analyse de trafic les plus connues du secteur, a été prise la main dans le pot de confiture : les VPN et les bloqueurs de contenus qu'elle possède siphonnent les données de navigation et d'usage de l'utilisateur, selon une découverte de BuzzFeed News. La vingtaine d'apps iOS et Android, qui n'indiquent jamais à quoi et à qui servent les données collectées auprès des utilisateurs, dépassent les 35 millions de téléchargements.
Apple a supprimé de l'App Store Adblock Focus, tandis que Google a fait de même pour Mobile Data, deux apps qui ont été récemment mises en ligne par des éditeurs portant le faux nez de Sensor Tower. Ces applications demandent l'installation d'un profil spécifique qui leur permettent d'accéder aux données de l'utilisateur. Sensor Tower exploite ces informations pour générer des rapports de popularité, de tendances et de revenus à destination des développeurs, des investisseurs, de la presse (le blog de la société est souvent repris, y compris par nous même).
Pour sa défense, Sensor Tower avance que les données recueillies sont anonymisées et qu'il ne s'agit que de données analytiques. L'entreprise précise aussi que si son nom n'apparait nulle part dans ces applications, c'est pour des raisons de concurrence. Randy Nelson, responsable informations mobiles au sein de la société, a expliqué au site que les apps ne tracent pas les utilisateurs et qu'elles ne stockent aucune donnée sensible (mots de passe, identifiants) ou provenant de navigateurs web.
« Quand vous regardez la relation entre ce genre d'apps et une firme d'analyse de trafic, ça a beaucoup de sens, surtout par rapport à notre histoire en tant que start-up », indique-t-il aussi. Selon lui, Sensor Tower voulait à l'origine développer un bloqueur de contenus, sans pouvoir fournir d'éléments soutenant cette histoire.
Le dirigeant assure que la « vaste majorité » de ces applications sont inactives, tandis que quelques unes sont en passe de devenir obsolètes. Plusieurs d'entre elles ne sont plus disponibles tout simplement parce qu'elles enfreignaient les règles de bonne conduite d'Apple, comme l'a confirmé le constructeur qui enquête actuellement sur Luna VPN, autre app signée Sensor Tower.
Ce n'est pas un cas isolé. Facebook a aussi siphonné des données avec le VPN Onavo, finalement retiré de l'App Store sur pression d'Apple. App Annie, concurrent de Sensor Tower, opère de son côté Phone Guardian, une application VPN, ainsi que My Data Manager pour consulter sa consommation de données. L'entreprise a au moins le mérite d'indiquer son lien avec ces apps dans leur descriptif :
Une application de App Annie.
Bénéficiant de la confiance de plus d'un million d'utilisateurs, App Annie est le premier fournisseur mondial d'estimations de performances mobiles. En bref, nous aidons les développeurs à concevoir de meilleures applications. Nous établissons nos estimations de performances mobiles en déterminant la façon dont les gens utilisent leurs appareils. Nous le faisons à l'aide de cette application.
Sensor Tower a annoncé auprès de TechCrunch qu'il allait faire en sorte d'afficher clairement le lien entretenu avec ses applications, et préciser la manière dont les données sont exploitées.
Ce problème de transparence se double d'une certaine hypocrisie de la part d'Apple : le constructeur sait que les éditeurs d'apps ont besoin de ces données pour analyser la performance de leurs apps. Or, ce sont des informations que la Pomme ne fournit pas, ou alors de manière parcellaire, fidèle à sa volonté de protéger les données des utilisateurs. Mais si c'était vraiment le cas, ces applications de collecte de données seraient supprimées de l'App Store de manière proactive… Apple n'appuie sur le gros bouton rouge que quand une application se retrouve sous le feu médiatique.
