Rechercher (2007-2014)

jeudi 6 janvier 2011

Mobile Apps et privacy ne font pas (du tout) bon ménage

Les spécialistes du marketing suivent les utilisateurs de smartphones à travers leur "apps". Certaines applications permettent de recueillir bon nombre de renseignements comme l'emplacement géographique, l'identifiant du téléphone ou encore des détails personnels comme l'âge ou le sexe. Le Wall Street Journal a récemment analysé les données collectées et partagées par 101 applications populaires sur l'iPhone et les téléphones Android et propose d'explorer les données recueillies à travers une application web


Deux applications de scan de codes graphiques, Bahntech sur iPhone et Barcode Reader sur Android ont été testées. L'étude du WSJ conclut que Bahntech envoie des informations sur l'identifiant du téléphone (IMEI), et celle de Barcode Reader sur la localisation. Or si l'information à propos de Bahntech (iPhone) n'a pas suscité de réactions, celle sur Barcode Reader (Android) s'est vue largement commentée par les développeurs de l'application, qui, rappelons-le, est open source : Zxing

Sean Owen nous explique ainsi que Barcode Reader n'envoie aucune information de localisation à Google et que l'étude du WSJ est erronée...

En fait, lorsque l'on scanne un code à barre (EAN/UPC, ISBN etc.), l'application Barcode Reader reconnait que c'est un produit dont la nomenclature du code est normée, et propose ainsi d'accéder à des contenus à partir d'autres applications (Recherche de livre si l'on scanne un livre, Google Shopper si l'on scanne un produit de grande conso, une canette de Perrier, comme pour cet exemple) :


Et effectivement, Google Shopper doit envoyer des informations sur la localisation de l'utilisateur (et peut être d'autres, je ne sais pas).

On se rend compte combien la privacy devient (déjà) un inextricable bordel sur portable : En soi, Barcode Reader n'envoie aucune information. "The app collects zero information. I don’t have a server to stash your info. I don’t care what your bookmarks are or what your aunt’s phone number is!". Mais si à partir de l'application Barcode Reader, on accède à l'application Google Shopper, là, des informations sont envoyées. Comment l'utilisateur est-il prévenu ? La notification à l'utilisateur incombe-t-elle à Barcode Scanner, qui est l'application utilisée en premier, ou à Google Shopper ?

Lorsque l'on télécharge une application Android pour la première fois, les données utilisées sont toujours indiquées. Par exemple pour l'application Tumblr :


Mais une fois l'application installée, il n'est plus possible d'en analyser le comportement.

C'est en partant de ce constat que Taintdroid a été developpé par une équipe de chercheurs provenant d'Intel Labs, Penn State, et Duke University et supporté par la U.S. National Science Foundation. 

Taintdroid est un système de monitoring en temps réel qui affiche dans la barre de notification quelles données sont utilisées et leur destination :




Une première enquête menée en 2010 portait sur les 50 applications gratuites les plus populaires dans chaque catégorie de l'Android Market, soit 1100 applications au total. 358 nécessitaient une connexion à l'Internet ainsi qu'un accès à la localisation, l'appareil photo ou d'autres données. Parmi ces 358 applications, 30 ont été choisies de manière aléatoire tout en représentant toutes les catégories de l'Android Market.

Et les nominés furent :

The Weather Channel (News & Weather); Cestos, Solitaire (Game); Movies (Entertainment);
Babble (Social); Manga Browser (Comics), Bump, Wertago (Social); Antivirus (Communication); ABC — Animals, Traffic Jam, Hearts, Blackjack, (Games); Horoscope (Lifestyle); Yellow Pages (Reference); 3001 Wisdom Quotes Lite, Dastelefonbuch, Astrid (Productivity), BBC News Live Stream (News & Weather); Ringtones (Entertainment), Layar (Lifestyle); Knocking (Social); Coupons (Shopping); Trapster (Travel); Spongebob Slide (Game); ProBasketBall (Sports); MySpace (Social); Barcode Scanner, ixMAT (Shopping); Evernote (Productivity).

Sur ces 30 applications, 20 ont été épinglées... (clic sur l'image) :



L'étude précise bien qu'il s'agissait d'analyser le comportement des applications tout en prenant compte l'accord explicite ou implicite de l'utilisateur. Les applications pointées du doigt sont celles qui envoient des informations à l'insu de l'utilisateur, sans jamais l'avoir prévenu, soit 2 applications sur 3...

Aucun commentaire:

Enregistrer un commentaire