Vie privée : comment vos appareils vous espionnent

Mobile : une machine à sous dans un milliard de poche

Les smartphones représentent désormais – de loin – la principale source de monétisation des données personnelles. L’hégémonie d’Android sur ce marché explique d’ailleurs en grande partie pourquoi Google vaut aujourd’hui 500 milliards de dollars en Bourse. Face aux PC, les appareils mobiles présentent un avantage majeur pour les publicitaires : ils vous suivent partout et ils peuvent communiquer en permanence les précieuses données recueillies. Nous avons cherché à savoir si les trois principaux OS mobiles se distinguaient en pratique.

tristanharrisfeaturedTristan Harris occupait jusqu’en 2014 un poste particulièrement alambiqué chez Google : design ethicist, éthicien du design. En quoi consistait exactement son travail ? Un petit flashback s’impose. Intégré en 2011 après le rachat de son entreprise, il découvre comment les géants de la Silicon Valley exploitent les faiblesses cognitives humaines afin de détourner l’esprit de leurs utilisateurs pour l’orienter vers les tâches les plus rémunératrices possible. À l’aide d’un savant mélange de sciences sociales, d’analyse de la psychologie humaine et des données comportementales recueillies, les géants du Web conçoivent des interfaces auxquelles vous ne pouvez pas résister. Le but recherché consiste à vous faire exécuter des actions par automatisme en outrepassant votre volonté première. Souhaitez-vous vraiment consulter votre smartphone 150 fois par jour comme la moyenne des utilisateurs ? Qui décide exactement du moment où vous dégainez votre appareil ? Vous ou un tiers qui choisit de vous envoyer telle ou telle notification à cet instant précis ? Vous connaissez la réponse. Tristan Harris aussi. Il songe alors à quitter son employeur mais tente tout de même de l’alerter sur la façon dont “une poignée de personnes, des hommes pour la plupart, vivant à San Francisco, décid[ent] de la façon dont des milliards de personnes dans le monde utilis[ent] leur attention“, et cela uniquement sur des considérations mercantiles, sans aucune réflexion éthique. Google fait d’abord mine de s’y intéresser et lui offre le poste de design ethicist. Las ! L’éthicien se rend vite compte que les objectifs trimestriels passent avant l’éthique et finit par démissionner, en dénonçant au passage ces “millions d’heures (…) volées à la vie des gens“. Depuis, Tristan Harris cherche à créer une prise de conscience collective sur ces problématiques.

David & Goliath
Pour être efficaces, les stratégies de persuasion technologique doivent s’appuyer sur un grand nombre de données issues de nos vies privées, transformées en statistiques comportementales. Pour Google, 85 % de parts de marché (PdM), aucun problème : il s’agit là de son business model et il s’insinue déjà partout, de votre plateforme de jeu à votre TV (comme nous l’avons montré) en passant évidemment par votre PC et votre smartphone. Pour ses deux concurrents, c’est plus compliqué. Microsoft souffre d’un retard très important côté mobilité (moins d’1 % de PdM) et doit mettre les bouchées doubles sur la récupération de Big Data. Apple, de son côté, a longtemps mis le respect de la vie privée en avant, en expliquant qu’il était avant tout un vendeur de matériel et non de données personnelles. Cette stratégie vertueuse se retourne désormais contre lui, à mesure que l’importance du Big Data s’accroît et que ses PdM stagnent (~15 %). Siri ne pourra par exemple plus rivaliser longtemps avec Amazon Echo et Google Home, tous deux nourris par des quantités phénoménales de données diverses. Larry Dignan, le rédacteur en chef de ZDNet, a même publié un édito hallucinant enjoignant Apple à accorder un peu moins d’importance à la vie privée pour améliorer son produit…

 

 

Apple, Google et Microsoft soumis à la question

Afin de nous faire une idée précise de la quantité de données échangées entre les différents systèmes d’exploitation mobile et leurs serveurs, nous avons installé, redémarré puis laissé tourner trois smartphones pendant douze heures en interceptant leurs communications. Voici un condensé des résultats.

Android 6Windows 10 MobileiOS 9

logo_andoird6Notre premier cobaye fut un Nexus 5X disposant d’un Android 6.0.1 sans surcouche. Celles-ci sont d’ailleurs conçues pour permettre à leur fabricant de récupérer des informations sur leurs utilisateurs en forçant Google à partager un peu le gâteau. Car le gâteau est gigantesque. Gros, gras et roboratif. Android communique sur tout, tout le temps et à l’aide d’un nombre impressionnant de serveurs. Vous commencez à tapez un numéro de téléphone ? Envoyé à google-analytics.com ! Vous ouvrez la calculatrice ? Une petite requête à googleadservices.com. Vous ne faites rien du tout ? Des connexions bourrées d’identifiants s’établissent pourtant vers google.com/loc, googleapis.com, googleusercontent.com, gvt1.com, gstatic.com, izatcloud.net et bien d’autres… Tout cela avec un smartphone à peine sorti de sa boîte et qui n’est même pas encore connecté à un compte Google ! Une fois entièrement configuré, l’OS s’affole et la quantité de données explose. Rien de ce que vous ne faites sur votre smartphone n’échappe à l’ogre de Moutain View. Les remontées d’informations “de diagnostic” sont constantes. Seul point positif : l’ensemble des communications demeurent plutôt très bien sécurisées. Google n’aime visiblement pas qu’on vienne fourrer le nez dans son Big Data…

logo_win10Première constatation : au premier démarrage, Microsoft fait tout pour cacher les options de protection de la vie privée grâce à un paramétrage “Rapide” largement mis en avant. La connexion à un compte Live s’avère évidemment vite indispensable. Bonne nouvelle pour nous : Windows Mobile 10 s’avère beaucoup plus facile à intercepter via une attaque MITM que sa déclinaison Desktop. On constate d’ailleurs vite qu’à l’intérieur de la session SSL, le mot de passe Live circule en clair. Le type, modèle, numéro de série et une flopée d’identifiants de tracking accompagnent quasiment chaque communication avec les serveurs de Microsoft. La plupart des données de votre téléphone “remontent” directement avec le service automatique de backup. Évidemment, votre localisation ainsi que les données des points d’accès Wi-Fi qui vous entourent sont également envoyés. Même en désactivant toutes les options liées à la vie privée, Windows 10 Mobile ne peut s’empêcher de communiquer régulièrement avec les serveurs de reporting de Microsoft. La télémétrie en elle-même reste d’ailleurs impossible à désactiver complètement dans les options : vous devrez toujours accepter d’envoyer des informations “de base” à Redmond…

logo_ios9Ne tournons pas autour du pot : à la lecture des logs réseau, il semble évident que l’OS Mobile d’Apple s’avère beaucoup, beaucoup moins bavard que ses deux concurrents. Au démarrage d’un iPhone sous iOS 9.3.2, on dénombre par exemple neuf petites connexions (principalement liée au push) alors qu’on en compte des dizaines (voire plus d’une centaine) sur les autres marques. Après 12 heures à renifler les données entrantes et sortantes, nous avons pu observer une limitation du nombre d’identifiants uniques générés/envoyés par l’OS (contrairement à Android) et une très bonne sécurisation des données (contrairement à Windows 10 Mobile). Alors évidemment, vous ne pourrez empêcher votre iPhone de transmettre à Apple vos données de localisation, les informations concernant les bornes Wi-Fi situées à proximité (leurs SSID et adresses MAC) ou encore les caractéristiques de votre smartphone. Mais il faut admettre que les options permettant de protéger sa vie privée sur iPhone sont non seulement plus efficaces, mais aussi beaucoup plus accessibles que chez Microsoft ou Google. Mieux encore, Apple semble empêcher les Apps de devenir trop invasives : l’application Facebook pour iOS communique par exemple beaucoup moins de données à ses serveurs que la version sur Android.

 

About the Author

Doc TB
Détracteur en chef, journaliste total, combat le bullshit marketing depuis 2001, ce qui lui vaut régulièrement procès et menaces. Particularité : dilapide l'argent de la rédaction en produits divers et variés qu'il pourrait très bien obtenir gratuitement via les constructeurs (contre un ou deux points en plus sur la note). Détruit au final lesdits produits en cherchant à les améliorer ou pour éprouver leur résistance aux courts-circuits.

Comments are closed.