Des apps iOS et Android envoient des données en Russie à l’insu de leurs utilisateurs

Nicolas Furno |

Le Financial Times a publié une enquête sur la collecte de données personnelles par Yandex, le « Google russe » dans de nombreuses apps iOS et Android. Ces données sont stockées sur des serveurs en Finlande et en Russie et puisque l’entreprise est soumise à la législation russe, elles pourraient être récupérées par le Kremlin et utilisées à des fins politiques, prévient le site. Ce qui est techniquement possible, mais l’enquête ne prouve pas que c’est le cas et Yandex ne le fait pas à l’insu des développeurs, comme le Financial Times le laisse parfois entendre.

La collecte des données se fait notamment par le biais d’AppMetrica, un service de collecte de données proposé gratuitement par Yandex. Les développeurs qui souhaitent obtenir des informations sur leurs utilisateurs, par exemple pour savoir quelles fonctions de leurs apps sont populaires ou pour fournir des publicités pertinentes, peuvent utiliser ce service qui concurrence directement Firebase de Google. Ils intègrent alors un kit de développement (SDK) fourni par Yandex à leurs apps et peuvent accéder aux données collectées par l’entreprise depuis le site web du service.

La page d’accueil d’AppMetrica, le service de statistiques de Yandex destiné aux développeurs.

AppMetrica n’a rien d’exceptionnel, on pourrait même juger que c’est le clone russe d’un service américain, comme tout ce que Yandex propose par ailleurs, à l’image de Yandex Maps ou Yandex Translate. Les développeurs peuvent choisir de l’utiliser dans leurs apps et ils doivent alors ajouter le SDK fourni par l’entreprise. La collecte des données à proprement parler ne se fera ensuite que si l’utilisateur l’accepte, avec des règles renforcées par Apple depuis iOS 14.5 et l’affichage systématique d’une boîte de dialogue pour autoriser ou non le suivi publicitaire d’une app.

Même si Yandex ne fait rien d’anormal avec son service, il faut noter que les SDK utilisés par les apps ne sont pas forcément connus des utilisateurs. Les autorisations demandées par les apps Android comme iOS ne précisent pas qui aura accès aux données et on peut facilement passer à côté de l’information. Le Financial Times note ainsi l’ironie de plusieurs apps de VPN sorties récemment et destinées explicitement aux Ukrainiens qui intègrent le SDK fourni par Yandex. Si le gouvernement russe le souhaitait, il pourrait accéder à ces données et les utiliser pour identifier les utilisateurs des apps d’après des chercheurs en sécurité cités par le site.

Yandex confirme la collecte des données et leur stockage sur des serveurs situés en Finlande et Russie, mais note qu’elles ne permettent pas de remonter directement à l’utilisateur. Le SDK récupère des informations sur l’appareil, le réseau et l’adresse IP, ce qui ne permet pas d’identifier directement ou facilement un utilisateur, même si cela reste possible, reconnaît l’entreprise. Le risque d’une utilisation par la Russie n’est pas nul, même si la firme souligne que chaque demande gouvernementale doit être justifiée sous peine d’être refusée.

Quoi qu’il en soit, c’est exactement pour répondre à ce genre de problématique qu’Apple a ajouté avec iOS 15 un rapport de confidentialité pour les apps. Tous les accès aux données personnelles demandés par les apps ainsi que tous les noms de domaines contactés par ce biais sont enregistrés et peuvent ainsi être surveillées par les utilisateurs.

iOS 15.2 : premier coup d

iOS 15.2 : premier coup d'œil sur le nouveau rapport de confidentialité des apps

Si vous n’avez jamais utilisé cette fonction, sachez que vous devez l’activer dans l’app Réglages, puis « Confidentialité » et « Rapport de confidentialité des apps » en bas de l’écran. Le rapport conserve ensuite sept jours de données et vous pourrez notamment vérifier si des noms de domaine associés à Yandex sont dans la liste, en ouvrant la section « Domaines les plus contactés ». Vous pouvez la trier par ordre alphabétique et chercher des domaines comme mc.yandex.ru et an.yandex.ru qui sont utilisés par ses services de statistiques.

Affichage des domaines les plus contactés par les apps dans le rapport de confidentialité intégré aux iPhone et iPad depuis iOS 15.2.

La liste est vite longue et Apple ne propose aucun champ de recherche malheureusement. Pour aller plus loin, le mieux est de revenir sur la page principale du rapport et de toucher l’icône de partage en haut à droite de l’écran. Récupérez le fichier généré pour l’ouvrir dans un éditeur de texte et cherchez d’éventuelles références à « yandex.ru ».


avatar fredsoo | 

Ces apps ne sont dispo qu'en sideloading, bien évidemment aucun risque sur l'Appstore officiel :)

avatar Yoshi_1 | 

@fredsoo

Ça n’a absolument aucun rapport pour le coup. Faut essayer de pas se tromper de combat.

avatar fredsoo | 

@Yoshi_1

Je te l’accorde, j’ai lu un peu trop vite…. J’étais en train de préparer à bouffer… faut jamais faire deux choses en même temps…
J’ai oublié mes artichauts dans la cocotte…

avatar Yoshi_1 | 

@fredsoo

C’est bon les artichauts. J’espère qu’ils restent mangeables.

avatar fredsoo | 

C’est excellent !
J’ai frôlé la correctionnelle avec mes morfales! Un peu trop cuit mais ça allait 😃

avatar Yoshi_1 | 

@fredsoo

Bon tant mieux 😁

avatar Godverdomme | 

Ce genre de commentaire me fait penser au mec qu voudrait faire interdire les couteaux de cuisine car un mec s'est coupé le doigt en cuisinant des artichauds.

Personne ne force à installer des applis pourries avec le sideloading. SI il est assez compliqué à activer, tu ne devrais même pas t'en inquiéter

avatar fredsoo | 

En passant, merci pour l'info concernant l’accès au rapport de confidentialité j’étais passé a coté ;)

avatar Paul Position | 

@fredsoo

Moi aussi ! Merci Macg.

avatar narugi | 

@Paul Position

Pareil. Merci pour l’info. Bonne fonction.

avatar cdag91 | 

@narugi

Pareil pour moi
Merci MacG

En fait ça mérite presque un article non?
S’il y en a déjà eu un, mea culpa

avatar Nicolas Furno | 

@cdag91

Non seulement il y en a eu un, mais le lien est dans cet article. 🙂

avatar cdag91 | 

@nicolasf

Ah 😅
Je vais aller me reprendre un café moi je crois 🥱🤣🤣

avatar r e m y | 

Pour compléter l'article, on aurait pu préciser que sur l'app iGeneration, si on clique "je soutiens" dans les choix proposés (sous-entendu "je soutiens MacG") plutôt que "Ne pas consentir", Yandex fait partie des "fournisseurs" dont les trackers fonctionnent en tâche de fond.
https://tinyurl.com/ykrwn5h2

avatar Lemmings | 

@r e m y : je ne sais pas si MacG/iGen envoient des données à Yandex mais il est toutefois bien plus probable qu'ils aient configuré leur CMP (l'outil de recueil du consentement) pour intégrer l'ensemble des partenaires de la vendor list fournie par Google : https://developers.google.com/third-party-ads/adx-vendors

avatar r e m y | 

On peut rapidement vérifier que la liste des "fournisseurs" listés par MacG n'a rien à voir avec cette liste fournie par Google.

avatar nespresso92 | 

@Lemmings

Cela ils ne vous le diront pas car c'est l'omerta sur ce sujet chez Macgen.

avatar nespresso92 | 

@r e m y

Perso NextDNS s'affole lorsque je lance iGen sur mon iPhone... mais rien ne passe 😁

https://ibb.co/kh23Fjz

avatar Krysten2001 | 

@nespresso92

Euh on a pas la même image 😅

J’ai pas les deux options au dessus.

avatar debione | 

Il me semble avoir vu pourtant une pub qui disait: Ce qui est sur votre iPhone...

Faut vraiment que j'arrête les drogues moi!

avatar Yoshi_1 | 

@debione

Non tu n’es pas sous l’effet de la drogue. Tu mélanges juste tout puisque t’as rien compris.

avatar debione | 

@ Yoshi_1:

Ah, donc un mouchard qui envoie mes habitudes d'utilisation d'une application n'est pas un truc qui sort de mon iPhone sans mon consentement explicite...
Très bien je prends note!

avatar Yoshi_1 | 

@debione

Installe les bonnes applications alors.
Et pour info, si tu utilises une application qui récolte des données (des apps « gratuites » donc), tu as accepté le contrat d’utilisation. Donc t’as pas le droit de t’en plaindre.

avatar r e m y | 

Attention au raccourci un peu rapide "app gratuite = collecte de données".
Il y a des apps gratuites qui ne collectent rien, et il y a aussi des apps payantes, ou des services sur abonnement, qui collectent quand même des données...

avatar Yoshi_1 | 

@r e m y

Oui je sais 😊 mais bon dans la majorité des cas…
En tout cas, si ça peut permettre à des gens de se rendre compte que « j’ai rien à me reprocher, je m’en fous d’être pisté », bah c’est pas très malin et ça peut avoir des conséquences…

avatar DG33 | 

@Yoshi_1

On ne le répétera jamais assez : faites donc un tour sur https://jenairienacacher.fr

avatar Bigdidou | 

@Yoshi_1

Moi, j'ai plein de trucs à me reprocher et je finis du coup par me foutre d'être pisté....

avatar David Finder | 

@r e m y

+1 !!

En effet, raccourci plus que rapide !
Il suffit, avant d’installer une app (gratuite ou payante) de bien lire sa fiche de confidentialité dans l’AppStore.
Et si « aucune info n’a été donnée par le dev…etc), je n’installe pas non plus.

avatar debione | 

@ Yoshi_1:

Ah ouais... Donc la validation d'Apple c'est du caca... Merci de l'info!
Vivement le side loading on aura au moins de bonne raison de se voir pister alors que l'ensemble du marketing Apple repose la dessus.

avatar Yoshi_1 | 

@debione

Ouais t’as rien compris, c’est bien ce que je pensais. Parfois c’est compliqué pour un QI négatif de se retenir de dire n’importe quoi.

Ah, je vois que tu as compris. Le marketing d’Apple. Apple c’est pas Facebook ou autres.
Et si tu désactives le suivi publicitaire, bah la collecte est plus difficile. Et ça a été prouvé.

avatar fte | 

@Yoshi_1

"Installe les bonnes applications alors. "

Mais Apple a dit que les bonnes applications étaient celles du Store et que l’enfer est ailleurs, en sideloading.

Tu veux dire qu’on ne peut pas faire confiance au Store ?

avatar Yoshi_1 | 

@fte

Vous faites exprès de dire strictement n’importe quoi ça me fume 😂

avatar InFunMatique | 

Firebase est tout de même beaucoup plus complet, puisqu’il ne s’arrête pas aux analytics, puisqu’il propose aussi de l’hébergement, des bases de donnés No SQL, du stockage de fichiers…

avatar Yoshi_1 | 

Je comprends pas quelque chose.
Le titre de l’article dit que la collecte se fait à l’insu des utilisateurs, alors que l’article dit le contraire.

avatar r e m y | 

Je crois que ce que veut dire l'auteur de l'article c'est que même quand on donne son consentement à la collecte de données, on sait rarement QUI récupère ces données et trouver cette info n'est pas toujours très simple (le rapport de confidentialité d'iOS15 est vraiment bénéfique pour cela, sous réserve de penser à l'activer car il est désactivé par défaut).
Qui ici sait que si il a coché "je soutiens MacG", en donnant ce consentement il a accepté que Yandex (parmi quelques centaines d'autres) récupère des données le concernant?

avatar Yoshi_1 | 

@r e m y

Sur ce point je suis d’accord. C’est pas suffisamment clair.
Cependant je pense pas qu’on puisse parler d’"insu". Tu acceptes qu’on collecte des données.

avatar r e m y | 

Oui mais ce que dit le titre c'est que ce qui se fait à l'insu de l'utilisateur c'est le fait d'envoyer ses données... en Russie.

avatar Yoshi_1 | 

@r e m y

Justement, l’article dit « l’enquête ne prouve pas que c’est le cas et Yandex ne le fait pas à l’insu des développeurs, comme le Financial Times le laisse parfois entendre. »
Désolé mais c’est flou… ^^

avatar r e m y | 

Les développeurs et les utilisateurs, ce sont 2 catégories de personnes différentes !

L'envoi de données sur des serveurs finlandais et russes est avéré. Ce que l'enquête ne prouve pas c'est que le Kremlin les récupère à des fins politiques.
Les développeurs intégrant le sdk doivent savoir que les données sont stockées en Finlande et Russie, par contre que ce soit à l'insu des utilisateurs de l'app (comme le dit le titre) et même ceux qui ont donné consciemment leur accord à la fourniture de données, me paraît assez probable.

avatar ckermo80Dqy | 

@r e m y

Finalement c'est à l'insu de son plein gré alors ?

avatar David Finder | 

@Yoshi_1

Pour le coup, quand tu es abonné, tu n’a pas accès aux réglages dont parle @r e m y.
J’en ai beaucoup discuté avec lui, et on n’a pas accès à cela en tant qu’abonnés.

avatar nespresso92 | 

@r e m y

Il est possible de retrouver ceux qui récupèrent vos données mais il faut parcourir la liste des partenaires de Macgen.
J'avais comptabilisé plus de 300 cookies/trackers concernant la collecte de vos données. Et bien sûr il n'y pas d'option "Tout Refuser" afin de décourager un grand nombre.
Tant d'hypocrisie de leur part quant au voit les articles rédigés sur la vie privée et leurs critiques à l'encontre des agissements de certaines sociétés.

avatar thierry37 | 

Merci. Je n'avais pas encore activé le rapport de confidentialité sur mon iPhone.
C'est chose faite

avatar David Finder | 

Je confirme, en tant qu’abonné au club, que MacG n’envoie rien à Yandex. En tout cas, Yandex est bien absent dans le rapport de confidentialité sur mon iPhone, que ce soit pour l’app MacG ou toutes les autres installées sur mon iPhone.

avatar r e m y | 

Tiens, ça m'intéresserait de savoir ce qu'indique ce rapport de confidentialité pour les abonnés. Yandex ne reçoit rien de l'app iGeneration, mais est-ce qu'il y a des infos envoyées à d'autres prestataires ? (n'étant plus abonné je ne peux pas vérifier moi-même)

avatar David Finder | 

@r e m y

Oui, il y a du googleapis, du doubleclick.net et de l’app measurment, pour les plus exotiques. Les autres, en majorité, contactent MacG tout simplement.

Il y a, sur 11 domaines contactés, 5 trackeurs appartenant à Google. Le reste, ce sont les serveurs MacG.

Désolé, je n’ai rien d’autre qu’iCloud pour t’envoyer une copie d’écran, mais on y voit mon vrai nom… et en tant qu’employé Apple, je ne peux pas laisser traîner ça.

avatar r e m y | 

Donc un site "sans pub ni pistage" pour les abonnés, ce n'est pas tout à fait le cas si on continue à utiliser l'app...
https://tinyurl.com/5wxtywf2

avatar David Finder | 

@r e m y

Je ne suis pas un expert (on en a déjà beaucoup parlé ensemble 😉), mais d’un point de vue utilisateur, effectivement, on peut dire que le contrat n’est pas respecté.
Sauf que (et là on ne voit pas de différence entre abonnés et non abonnés), la fiche de confidentialité de l’app sur l’AppStore fait clairement mention des données utilisées et dans quel but.

Donc ce n’est effectivement pas très clair…

Édit : Arès, il était (est encore ?) question d’une app spéciale pour les abonnés uniquement, qui devait résoudre ce genre de problème. Les règles d’Apple étant ce qu’elles sont, une même app, avec une fiche de confidentialité assez fournie, ne peut pas avoir une autre fiche de confidentialité, différente pour les abonnés.
J’en avais discuté avec Nicolas (je crois que c’était lui) de l’équipe. Et le but de cette éventuelle nouvelle app était bien de se passer de tout serveur tiers.

J’espère que nous aurons des nouvelles de cette app bientôt.

avatar Nicolas Furno | 

@r e m y

Le club iGen, c’est uniquement un site pour le moment, l’app est la même pour tout le monde, même si les abonnés n’ont aucun traqueur de suivi publicitaire actif évidemment.

On proposera sans doute à l’avenir une app dédiée au club, sans aucun SDK intégré, pour info.

avatar IceWizard | 

@David Finder

« Désolé, je n’ai rien d’autre qu’iCloud pour t’envoyer une copie d’écran, mais on y voit mon vrai nom… et en tant qu’employé Apple, je ne peux pas laisser traîner ça. »

Tu peux toujours éditer l’image avec un logiciel graphique et remplacer le nom par un rectangle de couleur.

Il y a des clauses spéciales réseaux sociaux et forums internet dans les contrats de travail Apple ?

Pages

CONNEXION UTILISATEUR