Quand les applis nous épient
Espionnite aiguë. Braze, Teemo, Weborama, Vectaury, Fidzup, Ad4Screen, Tune… Les noms de ces sociétés ne vous disent probablement rien. Mais celles-ci vous connaissent bien. Très bien, même. Ce sont quelques-unes des dizaines d’entreprises qui collectent chaque jour des données sur des millions de personnes. Comment ? Grâce à de petits programmes, appelés trackers, installés dans des applications mobiles que l’on utilise régulièrement. Voilà ce qu’on apprend en parcourant les rapports récemment publiés en ligne (Reports.exodus-privacy.eu.org) par des activistes français réunis, pour l’occasion, au sein de l’association Exodus Privacy. Plus des trois quarts des 345 applis qu’ils ont analysées avec l’aide de chercheurs en sécurité de l’université américaine de Yale intègrent au moins un tracker.
La plupart d’entre elles en abritent plusieurs. Celle du service de rencontres Adopte un mec, par exemple, en héberge cinq, et celle de la RATP, six. Certaines, comme AlloCiné ou Marmiton, en comptent quinze. On en trouve même sur celles contenant des données sensibles, à l’instar de Mon AXA, qui sert notamment à gérer son assurance santé. Les activistes se sont limités aux applis fonctionnant sous Android, plus faciles à ausculter. Mais ils estiment que celles sous iOS sont probablement autant touchées. Ils ont identifié, pour le moment, 44 trackers différents. Certains de ces mouchards sont anodins. Ils permettent aux éditeurs de mesurer leur audience ou d’être informés des bugs éventuels.
Mais d’autres se montrent bien plus indiscrets. Leurs créateurs profitent des autorisations que l’on accorde aux applis qui les abritent (accès à l’historique de navigation, aux tâches en cours, au GPS…), afin de collecter tout un tas d’infos (type de contenu consulté, activités préférées, ville de résidence…) ; celles-ci serviront à afficher des publicités ciblées ou à établir des études marketing très précises. En les croisant avec des données récoltées sur des sites Web avec des cookies, ils peuvent nous suivre sur nos différents appareils. Des concepteurs de trackers sont même capables de pister nos déplacements. C’est le cas de la société parisienne Teemo, qui assure être en mesure de géolocaliser 10 millions de smartphones en continu – avec une précision de 10 à 15 mètres – grâce à son programme présent dans une cinquantaine d’applis. Flippant ! Agissements opaques. Les auteurs de ces logiciels affirment que les infos récupérées sont anonymes. Mais selon Mike Kwet, chercheur à l’université de Yale, identifier un utilisateur est aisé du moment que l’on dispose d’une riche base de données. Il dénonce la prolifération des trackers et l’opacité qui règne sur ce sujet. Car nous ne sommes pas avertis explicitement de leur présence dans les applications que l’on télécharge. Il faut se rendre dans les conditions générales d’utilisation de ces dernières pour apprendre que des données peuvent être partagé es avec des tiers. Mais sans que l’on sache les noms de ceux-ci et ce qu’ils font précisément de nos données personnelles. Exodus Privacy espère que son travail nous ouvrira les yeux et incitera les éditeurs à faire preuve d’une plus grande transparence. Voeux pieux ?