Votre iPhone, un mouchard à votre insu qui interpelle la CNIL

 |   |  795  mots
Copyright Reuters
Copyright Reuters (Crédits : Reuters)
La Commission informatique et libertés a étudié pendant trois mois, avec l'INRIA, les données personnelles envoyées par les smartphones de bénévoles du régulateur lors de l'utilisation d'applications. Les données de géolocalisation et celles de l'identifiant unique du téléphone sont très souvent envoyées à l'éditeur ou à des tiers comme Google.

« Le smartphone, ce petit outil du quotidien que tout le monde a dans sa poche, est un peu une boîte noire. Nous avons voulu savoir comment les données personnelles circulent entre la chaîne d'acteurs » a expliqué Isabelle Falque-Pierrotin, la présidente de la CNIL, en présentant mardi les résultats d'une étude expérimentale baptisée Mobilitics, réalisée avec l'INRIA. « Nous avons voulu soulever le capot et regarder dans la vie réelle, et pas seulement en labo, quelles données étaient envoyées lorsqu'on utilise des applications » a précisé Geoffrey Delcroix, chargé d'études prospectives à la Commission Informatique et Libertés. Une équipe de chercheurs de l'INRIA a développé pendant un an une application spécifique, pour l'instant uniquement sous iOS, le système d'exploitation de l'iPhone, « en ajoutant du code que nous avons écrit dans l'interface de programmation d'Apple, et qui envoyait les données à la base de données du laboratoire quasiment en temps réel » ont-ils expliqué. Six bénévoles de la CNIL ont été équipés d'un iPhone embarquant cette application et se sont fait espionner pendant 3 mois. Les résultats sont parfois édifiants, sans être vraiment surprenants : « les outils d'identification et de traçage envahissent les smartphones et rien n'est aujourd'hui possible pour effacer les traqueurs à l'intérieur des applications mobiles » conclut la CNIL (voir les résultats de l'étude).

76 données de géolocalisation envoyées par jour par personne !
Ainsi, plus de 90% des 189 applications utilisées par les six « cobayes » ont demandé à accéder au réseau. Or « cela n'est pas forcément indispensable, notamment pour les jeux » observent les équipes de la CNIL. Plus étonnant, près de la moitié (46%) des applications ont accédé à l'identifiant unique Apple de l'appareil (UDID qui s'affiche en se connectant à iTunes) et un tiers de celles-ci l'ont transmis « en clair » et à plusieurs reprises, les plus actives étant entre autres HootSuite, Les Echos, Canal + ou RunKeeper. « A titre d'exemple, l'application d'un quotidien a accédé 1.989 fois à l'identifiant unique du téléphone et l'a transmis 614 fois à l'éditeur de l'application » relèvent les experts de la CNIL, qui s'interrogent sur les évolutions prochaines alors que Apple a annoncé qu'il ne donnerait plus l'accès à cette information aux développeurs, créant à la place un identifiant publicitaire dédié. Surprise, les données de géolocalisation sont moins souvent transmises (31% des applications), sans doute après la polémique autour des applis Path et WhatsApp. Mais en volume, elles restent « la reine des données » : l'étude a relevé la transmission de 41.000 « événements » au total, soit une moyenne de 76 données de géolocalisation envoyées par jour par personne ! Ce sont en premier lieu les applications comme Plans, Foursquare, AroundMe et Twitter mais aussi l'appareil photo de l'iPhone.


Destinataires principaux de ces données : Google, Criteo, Xiti
La CNIL a aussi remarqué que le nom de l'appareil, celui que le propriétaire lui-donne (généralement avec son nom ou son prénom) intéresse 15% des applications : l'usage de cette donnée apparemment anodine semble « peu clair » à l'autorité, bien qu'il s'agisse sans doute de profiler les utilisateurs. « Les résultats ne sont pas représentatifs et le but n'est pas de pointer du doigt qui que ce soit, développeur, éditeur, etc » nuancent les équipes de la CNIL. Toutefois, elles relèvent aussi que de nombreux « acteurs tiers », autres que les développeurs, sont destinataires de ces données, à savoir Google, le français Criteo, spécialisé dans le « reciblage » publicitaire et la société française de mesure d'audience Internet Xiti (AT Internet), mais aussi des acteurs émergents comme l'américain Flurry, spécialisé dans l'analyse d'audience mobile et la monétisation. Ce qui conduit la Commission à dresser une liste de recommandations : aux développeurs elle demande d'intégrer dès la conception les problématiques de respect de la vie privée ; aux magasins d'applications elle invite à inventer de nouvelles façons innovantes de recueillir le consentement des utilisateurs (pas seulement en acceptant ou refusant une bonne fois pour toutes l'accès à certaines données) ; aux éditeurs des systèmes d'exploitation (Apple, Google, etc) de renforcer les possibilités de paramétrer les règles de confidentialité en ajoutant par exemple l'identifiant, le nom du téléphone, etc. Enfin, la CNIL rappelle aux acteurs tiers qu'ils « ne doivent collecter que les données nécessaires », une notion un peu floue, et en toute transparence vis-à-vis du développeur et de l'utilisateur.
Une expérimentation similaire sera menée cette année sur des smartphones Android, l'équipe de l'INRIA étant en train de développer une application Mobilitics pour le système d'exploitation mobile de Google.
 

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 09/04/2013 à 16:50 :
Pour Android (Jelly Bean), vous avez "Accès au données de Localisation" (Menu principale). Cela permet de gérer l'accès de Google et des programmes à votre GéoLocalisation. Je les ai coché et j'ai regardé Google DashBoard. C'est tout a fait étonnant : mon GPS n'est pas très précis (je l'utilise rarement , comme l'AGPS qui se base sur les bornes de transmission, car cela mange mon forfait données et ma batterie) et pourtant, tout est là, même quand je vais à l'étranger (et que je n'ai pas de suivi des données).
Cela ne sert à rien, d'accord, mais tant qu'on ne l'utilise pas. Par exemple (côté positif), je peut suivre avec un module gratuit d'Avast (Antivirus) mon mobile, le bloquer à distance ou lui faire sonner une alarme.
Côté négatif, je n'ai plus aucune intimité (à 20 m près : on sait toujours pas si je vais chier ou baiser)
a écrit le 09/04/2013 à 15:54 :
et alors, qu'es ce qu on en a a fairen que vont ils faire avec ces données? rien 90% s'en foutent
a écrit le 09/04/2013 à 15:38 :
Quelle affolante naiveté de croire le contraire... les smarts phones, les navigateurs internet, les consoles en ligne, probablement les lecteurs blue ray quand ils sont connectés tous remontent nos habitudes de consommateur nos deplacements ....Welcome in the real world Neo !
a écrit le 09/04/2013 à 15:34 :
juste ne pas utiliser d'androide.. meme en ayant un travail "in" j'arrive à m'en passer ..seul soucis ne jamais commencer...à s'en servir.....car après vous n?êtes plus reelement autonome...à bon entendeur..
Réponse de le 09/04/2013 à 17:28 :
tout type de gadget permettant de faciliter la vie fait que nous ne sommes plus reellement autonome non? rien que votre pour post, vous auriez tout autant pu ecrire un courrier manuscrit, puis aller a la poste non?
a écrit le 09/04/2013 à 15:22 :
Ce n'est pas à notre insu, tout le monde le sait. Tous les publicitaires ne rêvent que de ça : vous faire voir, sur votre téléphone, la pub du commerce en face de vous dans la rue. D'ailleurs le jour où ils pourront vous spammer de sms de ce genre, ils ne s'en priveront pas (bien sûr faudra payer pour être sur liste spéciale pour pas être importunés par ce "service").
a écrit le 09/04/2013 à 14:46 :
Et cela devrait servir de terminal de paiement soi-disant sécurisé ?
Réponse de le 09/04/2013 à 15:56 :
Rassurez vous c'est à écrire au futur et non au conditionnel.
Réponse de le 09/04/2013 à 16:03 :
bonne remarque!
a écrit le 09/04/2013 à 14:41 :
Je comprends pas très bien ce procès fait à l'iPhone... iOS est peut-être le plus transparent en ce qui concerne la protection de la vie privée: dans les paramètres, il y a une rubrique "confidentialité" qui permet d'autoriser ou non pour chaque appli l'accès au GPS, calendrier, contacts, etc.
De plus, Apple vérifie toutes les applications de l'App Store, ce qui n'est pas le cas sur l'Android Market de Google où on trouve des applis avec des virus... bref on devrait plutôt s'intéresser à Google/Skynet qu'à Apple, surtout qu'Android est l'OS majoritaire
Réponse de le 09/04/2013 à 15:56 :
Le con-sommateur moyen n'est pas éduquer pour sécuriser son gadget.
Réponse de le 09/04/2013 à 16:32 :
éduqué

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :