2. Technos & Medias

  3. Internet

Votre iPhone, un mouchard à votre insu qui interpelle la CNIL

Par Delphine Cuny  |   |  795  mots
Copyright Reuters
La Commission informatique et libertés a étudié pendant trois mois, avec l'INRIA, les données personnelles envoyées par les smartphones de bénévoles du régulateur lors de l'utilisation d'applications. Les données de géolocalisation et celles de l'identifiant unique du téléphone sont très souvent envoyées à l'éditeur ou à des tiers comme Google.

« Le smartphone, ce petit outil du quotidien que tout le monde a dans sa poche, est un peu une boîte noire. Nous avons voulu savoir comment les données personnelles circulent entre la chaîne d'acteurs » a expliqué Isabelle Falque-Pierrotin, la présidente de la CNIL, en présentant mardi les résultats d'une étude expérimentale baptisée Mobilitics, réalisée avec l'INRIA. « Nous avons voulu soulever le capot et regarder dans la vie réelle, et pas seulement en labo, quelles données étaient envoyées lorsqu'on utilise des applications » a précisé Geoffrey Delcroix, chargé d'études prospectives à la Commission Informatique et Libertés. Une équipe de chercheurs de l'INRIA a développé pendant un an une application spécifique, pour l'instant uniquement sous iOS, le système d'exploitation de l'iPhone, « en ajoutant du code que nous avons écrit dans l'interface de programmation d'Apple, et qui envoyait les données à la base de données du laboratoire quasiment en temps réel » ont-ils expliqué. Six bénévoles de la CNIL ont été équipés d'un iPhone embarquant cette application et se sont fait espionner pendant 3 mois. Les résultats sont parfois édifiants, sans être vraiment surprenants : « les outils d'identification et de traçage envahissent les smartphones et rien n'est aujourd'hui possible pour effacer les traqueurs à l'intérieur des applications mobiles » conclut la CNIL (voir les résultats de l'étude).

76 données de géolocalisation envoyées par jour par personne !
Ainsi, plus de 90% des 189 applications utilisées par les six « cobayes » ont demandé à accéder au réseau. Or « cela n'est pas forcément indispensable, notamment pour les jeux » observent les équipes de la CNIL. Plus étonnant, près de la moitié (46%) des applications ont accédé à l'identifiant unique Apple de l'appareil (UDID qui s'affiche en se connectant à iTunes) et un tiers de celles-ci l'ont transmis « en clair » et à plusieurs reprises, les plus actives étant entre autres HootSuite, Les Echos, Canal + ou RunKeeper. « A titre d'exemple, l'application d'un quotidien a accédé 1.989 fois à l'identifiant unique du téléphone et l'a transmis 614 fois à l'éditeur de l'application » relèvent les experts de la CNIL, qui s'interrogent sur les évolutions prochaines alors que Apple a annoncé qu'il ne donnerait plus l'accès à cette information aux développeurs, créant à la place un identifiant publicitaire dédié. Surprise, les données de géolocalisation sont moins souvent transmises (31% des applications), sans doute après la polémique autour des applis Path et WhatsApp. Mais en volume, elles restent « la reine des données » : l'étude a relevé la transmission de 41.000 « événements » au total, soit une moyenne de 76 données de géolocalisation envoyées par jour par personne ! Ce sont en premier lieu les applications comme Plans, Foursquare, AroundMe et Twitter mais aussi l'appareil photo de l'iPhone.


Destinataires principaux de ces données : Google, Criteo, Xiti
La CNIL a aussi remarqué que le nom de l'appareil, celui que le propriétaire lui-donne (généralement avec son nom ou son prénom) intéresse 15% des applications : l'usage de cette donnée apparemment anodine semble « peu clair » à l'autorité, bien qu'il s'agisse sans doute de profiler les utilisateurs. « Les résultats ne sont pas représentatifs et le but n'est pas de pointer du doigt qui que ce soit, développeur, éditeur, etc » nuancent les équipes de la CNIL. Toutefois, elles relèvent aussi que de nombreux « acteurs tiers », autres que les développeurs, sont destinataires de ces données, à savoir Google, le français Criteo, spécialisé dans le « reciblage » publicitaire et la société française de mesure d'audience Internet Xiti (AT Internet), mais aussi des acteurs émergents comme l'américain Flurry, spécialisé dans l'analyse d'audience mobile et la monétisation. Ce qui conduit la Commission à dresser une liste de recommandations : aux développeurs elle demande d'intégrer dès la conception les problématiques de respect de la vie privée ; aux magasins d'applications elle invite à inventer de nouvelles façons innovantes de recueillir le consentement des utilisateurs (pas seulement en acceptant ou refusant une bonne fois pour toutes l'accès à certaines données) ; aux éditeurs des systèmes d'exploitation (Apple, Google, etc) de renforcer les possibilités de paramétrer les règles de confidentialité en ajoutant par exemple l'identifiant, le nom du téléphone, etc. Enfin, la CNIL rappelle aux acteurs tiers qu'ils « ne doivent collecter que les données nécessaires », une notion un peu floue, et en toute transparence vis-à-vis du développeur et de l'utilisateur.
Une expérimentation similaire sera menée cette année sur des smartphones Android, l'équipe de l'INRIA étant en train de développer une application Mobilitics pour le système d'exploitation mobile de Google.