Vie privée : comment vos appareils vous espionnent

L’indiscrétion des Apps

Si les systèmes d’exploitation mobile représentent le meilleur moyen d’aspirer facilement de grandes quantités de données personnelles, les applications ne sont pas en reste. Même si elles n’ont théoriquement accès qu’à un nombre plus restreint d’informations, leurs développeurs en profitent souvent pour se constituer un réservoir de Big Data à votre insu. Pour la science, nous en avons espionné une dizaine parmi les plus connues.

WhatsAppFacebookTwitterSnapChatAmazonUberTinderClash of ClansCandy Crush SagaLeclerc Drive

logo_whatsappEn 2014, Facebook a payé 19 milliards de dollars pour WhatsApp alors que, gratuite et sans pub, l’application ne rapporte pas un kopek. Pourquoi Zuckerberg a-t-il dépensé autant dans ces circonstances ? Pour accéder au carnet d’adresses de votre smartphone et accessoirement, d’affiner votre profil comportemental. D’un point de vue technique, WhatsApp exploite un protocole propriétaire basé sur XMPP et encodé End-to-End, ce qui le rend très robuste aux interceptions. Oui mais voilà : une vulnérabilité d’un protocole de téléphonie mobile (SS7), exploité par son système d’authentification par SMS, crée une énorme faille dans l’application. Des démonstrations ont déjà été effectuées, montrant comment un pirate pouvait intercepter les messages et usurper l’identité d’un autre utilisateur. Telegram est également concerné.

logo_facebookComme on pouvait s’en douter, Facebook sécurise son application avec les derniers raffinements technologiques (Certificate Pinning, HSTS, etc.), ce qui la rend particulièrement compliquée à intercepter. Nous y sommes toutefois parvenus… sans découvrir grand-chose d’intéressant. Et pour cause : Facebook n’a pas besoin de bourrer le téléphone de l’utilisateur de trackers puisque vous lui offrez vous-même vos données personnelles sur un plateau. Si nous n’avons pas relevé de communications impromptues avec des serveurs tiers, il convient toutefois de noter qu’une collaboration étroite existe entre Google et Facebook. Une partie des informations recueillies par le second sont exploitées par le premier, ce qu’on ne remarque pas sur la version iOS…

logo_twitterSi Twitter bénéfice comme Facebook d’une intégration poussée avec Android, son application demeure tout de même beaucoup moins bavarde. En particulier, elle ne communique pas sans arrêt en tâche en fond. À l’exception de vos données de géolocalisation et évidemment, du contenu de vos tweets, les flux enregistrés paraissent propres. L’application s’avère également correctement sécurisée mais attention : ce n’est pas forcément le cas de celles provenant de tierces parties qui exploitent l’API de Twitter !

logo_snapchatApplication préférée des ados et financées par la pub, Snapchat impose une politique de confidentialité assez laxiste. En clair, la société s’autorise l’exploitation de toutes les métadonnées générées par les interactions que vous réalisez avec son application, ainsi que celles liées à vos Snaps (heure, type, lieu, etc.). Elle reste toutefois floue sur l’exploitation du contenu des Snaps en lui-même.  On pourrait s’en accommoder si Snapchat ne savait pas pertinemment qu’une grande partie de sa cible est constituée de mineurs, voire d’enfants. Côté données échangées, le tracking comportemental de l’application relaie de (très) nombreuses informations vers sc-analytics.appspot.com, un service de… Google. Enfin, pour l’anecdote, l’app semble réagir différemment en termes de remontées d’informations lorsque vous décidez de consulter l’EULA et/ou la politique de confidentialité lors du premier démarrage. Coïncidence sur notre smartphone de test ? Possible…

logo_amazonL’empire bâti par Amazon dans le e-commerce repose en grande partie sur le profilage particulièrement affiné de ses clients. Son App Mobile en reprend évidemment tous les rouages. Les données de suivi comportemental représentent un très gros volume : après une minute d’utilisation, plus de 50 Ko de texte – incluant toutes vos interactions – remontent à différents serveurs d’Amazon. Des statistiques télémétriques sont ensuite communiquées toutes les 10 à 20 secondes. L’appli semble même en mesure de détecter si vous tenez le téléphone en main (grâce à l’accéléromètre) ou si vous l’avez posé temporairement. Dans le second cas, il pourrait en déduire que vous avez plus de temps à lui accorder… Outre son système publicitaire maison (amazon-adsystem.com), on constate aussi l’envoi d’informations à d’autres services comme adlooxtracking.com par exemple.

logo_uberUber a récemment étudié comment le niveau de batterie de ses utilisateurs influait sur leur comportement… en jurant ne pas s’en servir pour booster ses prix. Nous avons effectivement retrouvé cette information dans ses données de télémétrie… avec une foule d’autres. Pourquoi diable Uber veut-il savoir si mon téléphone est rooté, connaître mon adresse IP locale ou les coordonnées de la borne Orange ou je suis connecté (en plus des coordonnées GPS) ? 20 Ko de log sur ma personne à chaque remontée d’information, c’est beaucoup monsieur Uber ! Es-tu également obligé d’envoyer mes données à mobileapptracking.com ?

logo_tinderCe n’est pas parce qu’on pratique le plus vieux business du monde, rentable par nature, qu’il ne faut pas espionner ses utilisateurs pour maximiser encore plus ses revenus. Tinder l’a bien compris et s’impose désormais comme l’une des apps les plus intrusives qui soient. Avant même de l’utiliser, il faudra lui fournir les clés de votre compte Facebook et – c’est fortement conseillé, voire indispensable – le renseigner en détail sur vos considérations politiques et religieuses. Nous avons constaté une amusante anecdote qui résume bien la politique de Tinder en matière de confidentialité : au premier lancement de l’application, alors même que vous n’avez pas encore accepté les conditions générales, l’App envoie déjà d’innombrables informations personnelles (géolocalisation, ID, modèle et numéro de série du téléphone, etc.) à divers services marketing tiers comme appboy.com ou taplytics.com. On swipe !

logo_ccPlus récent que Candy Crush Saga et bénéficiant d’une intense campagne de lavage de cerveau pub à la TV, Clash of Clans ne se contente pas de ses juteux achats in-app. Si vous ne payez pas son éditeur pour ces quelques bonus, la pub débarque via des trackers posés par des tiers. SuperCell semble affectionner tout particulièrement TUNE (!) et son service Mobile App Tracking, à qui il envoie des données grâce à son app. Les mesures télémétriques de l’application sont également très nombreuses mais chiffrées. De quoi connaître parfaitement votre style de jeu pour mieux vous inciter à acheter.

logo_ccsKing, l’éditeur de Candy Crush Saga, ne semble pas particulièrement intéressé par les données de ses clients. Les achats in-app s’avèrent probablement bien plus lucratifs. Nous n’avons trouvé dans son jeu phrase que quelques trackers publicitaires basiques comme DoubleClick. Évidemment, vos statistiques de jeu sont tout de même communiquées immédiatement. De quoi influer sur le déroulement d’une partie pour vous proposer des coûteux bonus que vous ne pourrez pas refuser ?

logo_leclerc

Toutes les autres applications citées dans cette page proviennent de très grandes entreprises spéciales dans le net. Que se passe-t-il lorsqu’on analyse une App d’un “non-spécialiste” ? Nous sommes tombés par hasard sur celle de Leclerc, en oubliant de désactiver les trackers pour passer une commande perso. Et bien ce n’est pas joli-joli : certaines données comme le n° de carte Leclerc circule en clair – de quoi aller piquer la commande du voisin –, la protection des mots de passe s’avère minimaliste et on se demande encore pourquoi Michel-Edouard envoie à Yahoo nos informations télémétriques (niveau de batterie, espace disque, charge CPU, etc.).

 

About the Author

Doc TB
Détracteur en chef, journaliste total, combat le bullshit marketing depuis 2001, ce qui lui vaut régulièrement procès et menaces. Particularité : dilapide l'argent de la rédaction en produits divers et variés qu'il pourrait très bien obtenir gratuitement via les constructeurs (contre un ou deux points en plus sur la note). Détruit au final lesdits produits en cherchant à les améliorer ou pour éprouver leur résistance aux courts-circuits.

Comments are closed.