Des Apps bien indiscrètes

Arnaud de la Grandière |

Si Apple a fermement verrouillé la transmission furtives de données personnelles dans les règles de son App Store, il n'en reste pas moins que dans une certaine mesure il est possible de les exploiter à des fins publicitaires. Apple elle-même procède à une collecte des données de géo-localisation avec iAd (lire iAds : Apple commence la collecte des données et Collecte des données : Apple s'explique).

On savait également que l'identifiant unique de l'appareil était transmis sans vergogne (lire iPhone, vie privée et UDID). Le Wall Street Journal a passé en revue 101 applications populaires, partagées pour moitié entre iPhone et Android : 56 d'entre elles transmettent l'identifiant unique de l'appareil sans le consentement de l'utilisateur, et 47 transmettent la position géographique de l'appareil d'une manière ou d'une autre. Cinq d'entre elles envoient l'âge, le sexe, et d'autres détails personnels sur l'utilisateur.

En dépit du fait qu'Apple soit en apparence plus stricte que Google sur la validation des applications, ce sont les applications iPhone qui se sont montrées les plus indiscrètes : elles ont transmis plus de données que celles d'Android. Rien ne dit cependant que cette tendance se confirme au delà du petit échantillon testé (lire également Android : trop de fuites de données personnelles). Parmi les plus bavardes, on trouve notamment TextPlus 4, qui transmet à huit régies publicitaires l'identifiant du téléphone, le code postal de sa position, ainsi que l'âge et le sexe de l'utilisateur à deux d'entre elles. Pandora quant à elle envoie aussi bien votre âge, votre sexe, votre position et l'identifiant du téléphone à différents réseaux publicitaires, aussi bien sur iOS qu'Android. Paper Toss, un jeu assez populaire sur iOS comme Android, envoie votre identifiant unique à au moins cinq sociétés. Pumpkin Maker envoie vos données géographiques sans demander votre autorisation. Grindr, une application dédiée aux rencontres homosexuelles, envoie le sexe, la position, et l'identifiant à trois régies publicitaires (et il ne faut pas être grand clerc pour déduire l'orientation sexuelle de ses utilisateurs).

Des transmissions qui sont explicitement en violation avec les règles de validation de l'App Store, puisque celles-ci exigent une approbation préalable de l'utilisateur :

3.3.9 Vous et votre application ne pouvez collecter les données concernant l'utilisateur ou l'appareil sans le consentement préalable de l'utilisateur, et ce uniquement pour fournir un service ou une fonctionnalité qui dépende directement de l'utilisation de l'application, ou à des fins publicitaires. Vous ne pouvez pas utiliser de logiciel d'analyse dans votre application pour collecter et envoyer des données de l'appareil à une tierce partie.

3.3.10 Vous devez fournir une information claire et complète aux utilisateurs au sujet de votre collecte, de l'utilisation, de l'usage et de la divulgation des données de l'utilisateur ou de l'appareil. De plus, vous devez faire le nécessaire pour protéger ces données de toute utilisation, divulgation, ou accès par une tierce partie sans autorisation. Si un utilisateur cesse de consentir ou révoque expressément son consentement à votre collecte, utilisation ou divulgation de ses données, vous devez immédiatement cesser ces usages.

Il n'empêche que ces applications sont passées entre les mailles du filet. Les créateurs de TextPlus 4, Pandora et Grindr indiquent que les données transmises ne sont pas nominatives. Ils ajoutent également que l'âge et le sexe leur est fourni expressément par l'utilisateur (sans doute y voient-ils un consentement explicite, ce qui peut amplement faire débat). Quand au créateur de Pumpkin Maker, il indique qu'il "ignorait" qu'Apple exige l'autorisation de l'utilisateur pour la transmission de ces données (il n'en a pas moins signé le contrat qui inclut les clauses citées ci-dessus). Le créateur de Paper Toss n'a quant à lui pas répondu aux questions du WSJ. Même Angry Birds transmet l'UDID de l'iPhone ainsi que sa position aux serveurs de Chilingo, qui indique que ces données ne sont pas utilisées à des fins publicitaires et qu'elles ne sont pas transmises à des tiers. Tous insistent sur le fait qu'aucune donnée n'est nominative et que l'anonymat de l'utilisateur est respecté (bien que le nom soit de moindre intérêt pour cibler les publicités). Si Apple a bien tenté d'empêcher de tels abus, il paraît clair que son processus de validation n'a pas été en mesure d'isoler les fautifs, ce que le Wall Street Journal a pu faire assez facilement en interceptant et décodant les données transmises. Apple a d'autant moins d'excuses qu'elle fait partie des régies publicitaires concernées avec iAds : sur les 51 applications iPhone testées, 18 d'entre elles envoient des données privées à Apple elle-même.

skitched
Tags
#vie privée #iad #android #AdMob
avatar ElGringo13 | 
Et il le trouve ou l âge le sexe et autre données perso?
avatar Thibaut-J | 
Et il n'y a pas moyen de couper tout ça avec un iPhone d'origine ou il faut le jailbreaker pour être tranquille? Quelqu'un connaît une astuce?
avatar drkiriko | 
@ LeSteph : Désactiver la géolocalisation dès qu'on en a plus besoin (et ça économise en plus la batterie).
avatar macbec | 
A part Facebook et autres apps qui geolocalisent pour le concept même de l'appli, on pourrait avoir une liste approx des apps en question ?
avatar adrianweatherly | 
A priori, il faut donc constater deux choses : - les sociétés font exploiter les données personnelles à des tiers pour en tirer profit sans vergogne ; - la sécurisation des données personnelles sur ces deux OS est défaillante ; Dans le premier cas, l'utilisateur est en partie responsable puisqu'il n'est pas assez méfiant sur les conditions d'utilisation (mais les sociétés sont probablement pas très transparente). Pour la sécurisation, on en revient toujours au même débat : le système de validation Apple est une aberration sans nom ! Quant à Android même si la sécurité repose sur des bases plus saines, elle est largement perfectible.
avatar BeePotato | 
ça m'est arrivé aussi parce que j'utilisais iCab (pourtant avec le user-agent normal, qui signale iOS et sa version, il me semble). en y retournant avec Safari, ça a fonctionné.
avatar Amine49 | 
bienvenue dans le monde merveilleux d'Apple. La triste réalité est qu'ils n'en veulent qu'à votre porte monnaie. Il est temps de se réveiller les bisounours !
avatar foudeapple | 
En installant un firewall sur iphone je me suis aperçu,à ma grande surprise qu'un très grand nombre d'applications envoyaient des données pour ne citer :dailymotion,fring,Telemagazine,Tele7,Pagesjaunes et d'autres encore.De quel ordre?Je n'ai pas cherché à savoir.A vrai dire rares sont les applications qui n'envoient pas de données.
avatar Emmanuel aime attendre | 
Pourquoi je lis des commentaires genre "bienvenue chez Apple", ce sont les développeurs d'applications (que ce soit Apple ou Android, ce sont les mêmes..) qui collectent, et non Apple...
avatar bmxeur91 | 
Je ris bien en pensant à tous les AppleFans qui disent continuellement qu'Android est "dangereux" car il "envoit des informations personnelles" à Google. Comme je m'en doutais, Apple applique la même politique et les applications de l'AppStore sont encore plus curieuses. Il fait arrêter avec le mythe du méchant Google et du "gentil Apple" qui protège vos données personnelles.
avatar davmacgeneration | 
C'est moche mais c'est normal... La gratuité a un cout : Une application "gratuite" va donc se rémunérer en commercialisant des données de l'utilisateur. Bien sur il existe des productions informatiques réellement gratuites (les logiciels libres) Mais ici il y a confusion et absence de transparence. Ce que j'espère c'est que les applications payantes ne se payent en plus en espionant/vendant mes données personnelles Ce que je souhaite, c'est que dans le futur l'usager soit correctement informé des données que le logiciel transmet. Actuellement j'appelle ca du VOL et ce devrait être punissable légalement
avatar Switcher | 
"C'est moche mais c'est normal... La gratuité a un cout" +1. Merci, tout est dit, rien à ajouter.
avatar davmacgeneration | 
et me..de à ceux qui détournent cette information importante (grave?) pour en faire une querelle de clocher Apple/Android. Nous devons réagir en exigeant d'Apple/Android, et aux législateurs d'interdire et rendre impossible ces comportements.
avatar fantomx6 | 
Utiliser l'udid dans une application est normal: c'est même recommandé par Apple. http://developer.apple.com/library/ios/#documentation/uikit/reference/UIDevice_Class/Reference/UIDevice.html "You may use the UDID, in conjunction with an application-specific user ID, for identifying application-specific data on your server. For example, you use could a device-user combination ID to control access to registered products or when storing high scores for a game in a central server." Du coup toute application voulant stocké en ligne des données utilisateur doit transmettre ce fameux udid. et il ne sert qu'a ça!!! Il faut arrèter de se prendre la tête pour ça à mon avis.
avatar max68lola22 | 
Mieux vaut ne pas se faire d' illusions on ne saura jamais la vérité Apple goggle et autres c est du kif kif Only money
avatar davmacgeneration | 
alan63 : ne pas se faire d'illusions, rien ne changera... Si tous le monde réagit comme toi certes. Mais si les journalistes, les informaticiens, les législateurs et les citoyens refusent et dénoncent, alors les spywares n'envahiront pas notre quotidien. Ta réaction défaitiste est pain béni pour big brother
avatar fantomx6 | 
@Nonoche Et quelle est la nuance? L'udid ne sert qu'a ça. La plupart des régit publicitaire s'en serve pour ne pas afficher deux fois la même pub sur le même téléphone. Il n'y a aucune autre info dans cet udid. Vriament je ne voit pas du tout ce qui pose problème ici. Autant envoyer les coordonée GPS c'est problématique (surtout si elle sont précises) et envoyer les contact (comme angry birds par exemple) c'est super grave. Autant je persiste à ne pas voir de problèmes avec l'udid.
avatar veyne | 
Installez donc un pare feu tel que little snitch par exemple, et branchez votre téléphone à votre ordinateur! Vous verrez... Apres tout, tout ça est écrit dans le contrat de licence que l'on accepte alors faut pas non plus dire qu'on est pas prévenu!
avatar whocancatchme | 
Mais que fait la police ? Ah oui, c'est vrai, elle fait la même chose...
avatar JP Caillot | 
Perso je laisse tjs ma localisation en marche comme ca lorsque je prends une photo je suis sur d'avoir la position.. Mais avec AdBlock sur mon i4 je suis tranquille je n'ai aucune PUB nul part :)
avatar TotOOntHeMooN | 
Ce qui démontre également que Apple comme les développeurs savent qui achete et qui n achete pas les apps installées..... ;)
avatar VinyPalmer | 
voici bien la meilleure raison pour jailbreaker : FireWallIP (cydia) PUB Gratuite ;-)

CONNEXION UTILISATEUR