Plusieurs dizaines d’applications iOS ont pris la mauvaise habitude de vendre, avec une certaine discrétion, les données de localisation de leurs utilisateurs à des sociétés marketing tierces. Cette pratique touche des « dizaines de millions » d’appareils, s’alarme le spécialiste en sécurité Will Strafach sur le site de son VPN GuardianApp.
Ces apps demandent l’autorisation aux utilisateurs d’exploiter leurs données de localisation, mais elles ne servent pas qu’à leur servir des informations plus précises : ces informations sont partagées avec des entreprises qui peuvent ensuite inonder ces mêmes utilisateurs avec de la publicité ciblée, par exemple. Bien sûr, la demande d’autorisation ne précise pas que les données recueillies serviront aussi à des fins commerciales ou publicitaires.
Et les informations de localisation peuvent être très précises : données de beacons Bluetooth, longitude et latitude GPS ainsi que le nom et l’adresse MAC du réseau Wi-Fi. Plusieurs éditeurs collectent aussi des données moins sensibles comme les informations de l’accéléromètre, l’identifiant publicitaire IDFA, le statut et le pourcentage de la batterie, le nom du réseau cellulaire, l’altitude et/ou la vitesse relevée par le GPS, l’heure d’arrivée ou de départ d’un lieu.
Parmi les applications qui vendent ces données sans vergogne, on trouve des noms connus comme ASKfm (réseau social), Perfect365 (app de beauté AR), Photobucket (stockage photo)… Strafach donne 24 exemples d’apps, mais il y en a plus d’une centaine en tout qui ne précisent pas à l’utilisateur qu’elles revendent les données de localisation à des tiers.
Ces apps intègrent le SDK de sociétés marketing et de monétisation de données comme RevealMobile, Huq ou encore AreaMetrics. « Je pense que les gens devraient pouvoir utiliser n’importe quelle application sur leur téléphone, sans craindre qu’autoriser l’accès à des données sensibles signifie donner ces données à des entités qu’ils ne connaissent pas et avec lesquelles ils ne veulent pas avoir à faire », explique Will Strafach à TechCrunch.
Pour éviter le siphonnage de données, le chercheur conseille de cocher l’option Suivi publicitaire limité dans les réglages (Confidentialité > Publicité), ce qui va rendre la vie plus difficile aux traqueurs de localisation. Si une boîte de dialogue de permission de partage de localisation affiche un mot du genre « voir notre politique de confidentialité », Strafach conseille de ne pas autoriser. On peut aussi créer un nom de réseau Wi-Fi (SSID) très générique, et désactiver le Bluetooth quand on n’en a pas besoin, ce qui n’est pas évident quand on possède une Apple Watch ou des AirPods.