Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Mobilitics, saison 2 : Toujours plus de données collectées par Google, Appel et les fournisseurs d’applications mobiles

décembre 2014 par Marc Jacob

Depuis 3 ans, la CNIL et Inria travaillent ensemble pour comprendre l’écosystème des smartphones. Les résultats du projet Mobilitics montrent que les accès aux données personnelles sont à la fois massifs et peu visibles pour les utilisateurs. Les éditeurs d’applications et leurs fournisseurs de services ou partenaires commerciaux doivent donc intensifier leur effort d’information des utilisateurs, sans s’abriter derrière des contraintes techniques. En la matière, les éditeurs de système d’exploitation pour smartphones et tablettes (Apple, Google, Microsoft, Mozilla) sont les premiers responsables. A ce titre, ils doivent permettre aux utilisateurs de mieux maîtriser leurs données personnelles.

En préambule, Isabelle Falque Perrotin, Présidente de la CNIL a rappelé que cette enquête a été motivée au vue de l’adoption généralisée des Téléphones mobiles et des tablettes. ainsi en France on compte aujourd’hui plus de 30 millions de ces devices. Deux OS dominent très largement ce marché avec plus de 90% d’adoption IOS et Androïd. Pourtant on note des différences entre les éco-systemes d’Apple et de Google. Pour Apple on note plus de verrouillage par rapport à Androïd où il y a plus de liberté pour les fournisseurs. Ce qui est logique du fait des modèles économiques différents entre Apple et Google.

Puis Antoine Petit, directeur de l’INRIA a insisté sur l’importance du partenariat avec la CNIL afin de trouver des solutions techniques pour remédier à ce type de problème.

Geoffrey Delcroix, CNIL a présenté l’étude :

Dès 2011, la CNIL avait souligné le recours massif des utilisateurs de smartphones aux applications téléchargeables, dans un sondage Smartphones et données personnelles. Depuis, la tendance n’a fait que s’accentuer : aujourd’hui, les mobinautes et tablonautes ont en moyenne une trentaine d’applications sur leur appareil, alors que les magasins d’application proposent plus d’un million d’applications au téléchargement. Certaines applications sont payantes, beaucoup sont gratuites (et rémunérées soit par de la publicité, soit par des achats liés). Pour comprendre cet écosystème, la CNIL a souhaité se doter d’un outil d’analyse. Développé avec Inria, Mobilitics a été installé sur des smartphones que des agents de la CNIL ont utilisé à la place de leur téléphone personnel pendant 3 mois.

Rappel : Mobilitics saison 1 (iOS)

Dès la première vague de tests sous iOS, trois enseignements, rendus publics en avril 2013, avaient été tirés :

 le statut particulier de la géolocalisation, reine des données du smartphone ;
 la tendance des développeurs et éditeurs d’applications à recourir à des stratégies d’identification aux objectifs très divers (mesures d’audience, statistiques d’utilisation, analytics, monétisation et publicité...) ;
la difficulté à corréler les accès aux données avec des actions de l’utilisateur ou des besoins légitimes des applications.

Mobilitics Saison 2 (Android)

Les résultats de l’expérimentation avec des téléphones Android, développés dans la lettre IP n°8, sont convergents avec ces premiers constats de 2013. Les constats et préconisations de la CNIL portent donc désormais sur près de 90% des smartphones en France (environ 66% sont équipés du système d’exploitation Android de Google et 20% du système d’exploitation iOS d’Apple).

Ces résultats prouvent que les informations et les outils de maitrise mis à la disposition des utilisateurs sur smartphone restent limités et insuffisants au regard du volume de données collectées sur ces appareils. Plusieurs caractéristiques de l’écosystème peuvent être relevées :

1) La course aux identifiants

Un smartphone contient bon nombre d’identifiants techniques, matériels ou logiciels. Les applications accèdent souvent à ces identifiants, pour des besoins qui leurs sont propres (dont la constitution de profils publicitaires). Sur iOS comme sur Android, entre 50 et 60% des applications testées ont accédé à des identifiants du téléphone.

Les fabricants de systèmes d’exploitation, conscients du risque de surexploitation des identifiants, essayent parfois de limiter les usages de chaque identifiant par des moyens techniques ou juridiques. Cependant, les applications récupèrent souvent plusieurs identifiants différents dans le même appareil (sur Android, un quart des applications ont accédé à 2 identifiants ou plus).

2) Un GPS dans votre poche

La localisation est la donnée reine dans l’environnement des smartphones. Elle joue un rôle clé pour les services les plus utiles (car contextualisés) mais peut aussi constituer une intrusion importante dans les habitudes et comportements de la personne.

Entre un quart et un tiers des applications accèdent à la localisation. Mais ce qui retient l’attention, c’est la fréquence d’accès. Ainsi, une application de service de réseau social a pu accéder 150 000 fois en 3 mois à la localisation d’un de nos testeurs. Cela représente un accès en moyenne par minute. Certaines applications qui ont obtenu l’autorisation (générique) d’accéder à la localisation ne se privent donc pas de l’utiliser, même lorsque l’application n’est pas visible à l’écran. D’une manière générale, beaucoup d’applications accèdent très souvent à la localisation (ainsi, plus de 3 000 fois en 3 mois pour un jeu).

En volume, la géolocalisation est aussi la donnée la plus collectée : elle représente à elle seule plus de 30% des évènements détectés, sans être toujours liée à des fonctionnalités offertes par l’application ou à une action de l’utilisateur.

3) Le système d’exploitation, principal maître à bord de votre smartphone

L’éditeur du système d’exploitation n’est pas un acteur comme les autres : il définit les règles que les éditeurs d’applications doivent respecter. Il définit aussi quelles informations et quels outils de maîtrise sont à disposition de l’utilisateur. En fonction de leur stratégie, Apple (pour iOS), Google (pour Android) ou Microsoft (pour Windows Mobile) sont dans une situation privilégiée pour collecter et traiter des données. Certains services étant installés par défaut (et parfois impossibles à désinstaller), l’utilisateur n’a souvent pas d’autre choix que de laisser ces services accéder à des données. Certains de ces services sont particulièrement gourmands en matière de données. Par exemple, une application installée par défaut pour un de nos testeurs a procédé à plus d’un million d’accès à la localisation en 3 mois.

Conformément à l’avis du G29 d’avril 2013 concernant les applications mobiles, la CNIL souhaite que l’ensemble des acteurs de l’écosystème (éditeurs d’application, éditeurs des systèmes d’exploitation et responsables des magasins d’applications, tiers fournisseurs de services et d’outils) prenne la juste mesure de leurs responsabilités respectives pour améliorer l’information et les outils de maitrise des données personnelles. Les grands acteurs des systèmes d’exploitation et magasins d’applications ont un rôle clé à jouer. Si les nouvelles versions des systèmes d’exploitation sont souvent l’occasion de changements positifs dans les outils disponibles, ces efforts doivent se poursuivre. Les développeurs, éditeurs d’application et leurs partenaires (par exemple les fournisseurs de solutions d’analytics, de monétisation, etc.) doivent quant à eux minimiser les collectes de données qui ne sont pas liées au service rendu par l’application et adopter une approche de privacy by design, plus respectueuse du droit des utilisateurs.

Isabelle Falque Perrotin a insisté sur le fait que la CNIL va devoir plus travailler encore avec les fournisseurs d’applications, mais aussi avec Apple et Google pour agir de façon à protéger la vie privée des utilisateurs en proposant des solutions incluant de la privacy by design.

Puis, Vincent Rocade de lINRIA a mis en avant un exemple de problème initié par cette intrusion dans la vie privé des utilisateurs : simplement par l’historique des connexions aux réseaux wifi il est possible pour un développeur d’applications de connaître tous les déplacements d’un utilisateurs et par là même de connaître ses habitudes de vie. Tout cela est possible avec Androïd avec la connexion internet et ACCES WIFI STATE. 41% des applications sous Androïd demandent ces informations et les exploitent.

Pour lui, le système de permission de Google est trop grossier, trop complexe et trope défavorable à l’utilisateur car binaire et statique( pas de contrôle comportementale).

Actuellement, Google ne souhaite pas changer la donne car le panneau contrôle compris dans Android 4.3 a été retiré.

Isabelle Falque Perrotin a expliqué que les CNIL européennes travaillent avec Google pour que cette société se mettent en conformité avec la législation européenne. Aujourd’hui ces éditeurs tant Google qu’Apple se rapprochent des CNIL et sont plus à l’écoute de ses recommandations.

On peut se demander ce que les éditeurs font des téra bit de données collectées tous les jours... et combien de temps ils conservent ces données. Pour la moment la question a été posée en particulier à Google qui doit répondre le 15 janvier 2015...


Voir les articles précédents

    

Voir les articles suivants