Votre iPhone, un mouchard à votre insu qui interpelle la CNIL

La Commission informatique et libertés a étudié pendant trois mois, avec l'INRIA, les données personnelles envoyées par les smartphones de bénévoles du régulateur lors de l'utilisation d'applications. Les données de géolocalisation et celles de l'identifiant unique du téléphone sont très souvent envoyées à l'éditeur ou à des tiers comme Google.
Copyright Reuters

« Le smartphone, ce petit outil du quotidien que tout le monde a dans sa poche, est un peu une boîte noire. Nous avons voulu savoir comment les données personnelles circulent entre la chaîne d'acteurs » a expliqué Isabelle Falque-Pierrotin, la présidente de la CNIL, en présentant mardi les résultats d'une étude expérimentale baptisée Mobilitics, réalisée avec l'INRIA. « Nous avons voulu soulever le capot et regarder dans la vie réelle, et pas seulement en labo, quelles données étaient envoyées lorsqu'on utilise des applications » a précisé Geoffrey Delcroix, chargé d'études prospectives à la Commission Informatique et Libertés. Une équipe de chercheurs de l'INRIA a développé pendant un an une application spécifique, pour l'instant uniquement sous iOS, le système d'exploitation de l'iPhone, « en ajoutant du code que nous avons écrit dans l'interface de programmation d'Apple, et qui envoyait les données à la base de données du laboratoire quasiment en temps réel » ont-ils expliqué. Six bénévoles de la CNIL ont été équipés d'un iPhone embarquant cette application et se sont fait espionner pendant 3 mois. Les résultats sont parfois édifiants, sans être vraiment surprenants : « les outils d'identification et de traçage envahissent les smartphones et rien n'est aujourd'hui possible pour effacer les traqueurs à l'intérieur des applications mobiles » conclut la CNIL (voir les résultats de l'étude).

76 données de géolocalisation envoyées par jour par personne !
Ainsi, plus de 90% des 189 applications utilisées par les six « cobayes » ont demandé à accéder au réseau. Or « cela n'est pas forcément indispensable, notamment pour les jeux » observent les équipes de la CNIL. Plus étonnant, près de la moitié (46%) des applications ont accédé à l'identifiant unique Apple de l'appareil (UDID qui s'affiche en se connectant à iTunes) et un tiers de celles-ci l'ont transmis « en clair » et à plusieurs reprises, les plus actives étant entre autres HootSuite, Les Echos, Canal + ou RunKeeper. « A titre d'exemple, l'application d'un quotidien a accédé 1.989 fois à l'identifiant unique du téléphone et l'a transmis 614 fois à l'éditeur de l'application » relèvent les experts de la CNIL, qui s'interrogent sur les évolutions prochaines alors que Apple a annoncé qu'il ne donnerait plus l'accès à cette information aux développeurs, créant à la place un identifiant publicitaire dédié. Surprise, les données de géolocalisation sont moins souvent transmises (31% des applications), sans doute après la polémique autour des applis Path et WhatsApp. Mais en volume, elles restent « la reine des données » : l'étude a relevé la transmission de 41.000 « événements » au total, soit une moyenne de 76 données de géolocalisation envoyées par jour par personne ! Ce sont en premier lieu les applications comme Plans, Foursquare, AroundMe et Twitter mais aussi l'appareil photo de l'iPhone.


Destinataires principaux de ces données : Google, Criteo, Xiti
La CNIL a aussi remarqué que le nom de l'appareil, celui que le propriétaire lui-donne (généralement avec son nom ou son prénom) intéresse 15% des applications : l'usage de cette donnée apparemment anodine semble « peu clair » à l'autorité, bien qu'il s'agisse sans doute de profiler les utilisateurs. « Les résultats ne sont pas représentatifs et le but n'est pas de pointer du doigt qui que ce soit, développeur, éditeur, etc » nuancent les équipes de la CNIL. Toutefois, elles relèvent aussi que de nombreux « acteurs tiers », autres que les développeurs, sont destinataires de ces données, à savoir Google, le français Criteo, spécialisé dans le « reciblage » publicitaire et la société française de mesure d'audience Internet Xiti (AT Internet), mais aussi des acteurs émergents comme l'américain Flurry, spécialisé dans l'analyse d'audience mobile et la monétisation. Ce qui conduit la Commission à dresser une liste de recommandations : aux développeurs elle demande d'intégrer dès la conception les problématiques de respect de la vie privée ; aux magasins d'applications elle invite à inventer de nouvelles façons innovantes de recueillir le consentement des utilisateurs (pas seulement en acceptant ou refusant une bonne fois pour toutes l'accès à certaines données) ; aux éditeurs des systèmes d'exploitation (Apple, Google, etc) de renforcer les possibilités de paramétrer les règles de confidentialité en ajoutant par exemple l'identifiant, le nom du téléphone, etc. Enfin, la CNIL rappelle aux acteurs tiers qu'ils « ne doivent collecter que les données nécessaires », une notion un peu floue, et en toute transparence vis-à-vis du développeur et de l'utilisateur.
Une expérimentation similaire sera menée cette année sur des smartphones Android, l'équipe de l'INRIA étant en train de développer une application Mobilitics pour le système d'exploitation mobile de Google.
 

Sujets les + lus

|

Sujets les + commentés

Commentaires 12
à écrit le 09/04/2013 à 16:50
Signaler
Pour Android (Jelly Bean), vous avez "Accès au données de Localisation" (Menu principale). Cela permet de gérer l'accès de Google et des programmes à votre GéoLocalisation. Je les ai coché et j'ai regardé Google DashBoard. C'est tout a fait étonnant ...

à écrit le 09/04/2013 à 15:54
Signaler
et alors, qu'es ce qu on en a a fairen que vont ils faire avec ces données? rien 90% s'en foutent

à écrit le 09/04/2013 à 15:38
Signaler
Quelle affolante naiveté de croire le contraire... les smarts phones, les navigateurs internet, les consoles en ligne, probablement les lecteurs blue ray quand ils sont connectés tous remontent nos habitudes de consommateur nos deplacements ....Welco...

à écrit le 09/04/2013 à 15:34
Signaler
juste ne pas utiliser d'androide.. meme en ayant un travail "in" j'arrive à m'en passer ..seul soucis ne jamais commencer...à s'en servir.....car après vous n?êtes plus reelement autonome...à bon entendeur..

le 09/04/2013 à 17:28
Signaler
tout type de gadget permettant de faciliter la vie fait que nous ne sommes plus reellement autonome non? rien que votre pour post, vous auriez tout autant pu ecrire un courrier manuscrit, puis aller a la poste non?

à écrit le 09/04/2013 à 15:22
Signaler
Ce n'est pas à notre insu, tout le monde le sait. Tous les publicitaires ne rêvent que de ça : vous faire voir, sur votre téléphone, la pub du commerce en face de vous dans la rue. D'ailleurs le jour où ils pourront vous spammer de sms de ce genre, i...

à écrit le 09/04/2013 à 14:46
Signaler
Et cela devrait servir de terminal de paiement soi-disant sécurisé ?

le 09/04/2013 à 15:56
Signaler
Rassurez vous c'est à écrire au futur et non au conditionnel.

le 09/04/2013 à 16:03
Signaler
bonne remarque!

à écrit le 09/04/2013 à 14:41
Signaler
Je comprends pas très bien ce procès fait à l'iPhone... iOS est peut-être le plus transparent en ce qui concerne la protection de la vie privée: dans les paramètres, il y a une rubrique "confidentialité" qui permet d'autoriser ou non pour chaque appl...

le 09/04/2013 à 15:56
Signaler
Le con-sommateur moyen n'est pas éduquer pour sécuriser son gadget.

le 09/04/2013 à 16:32
Signaler
éduqué

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.