TwitterFil Twitter

La nouvelle version d' #UnivMobile l’appli officielle des universités de Paris et d’IDF est sur #ProximaMobile
https://t.co/VxTqJOjjQY
#mEdu

Félicitations à l’astronaute Thomas Pesquet qui se rapproche de l’ #ISS: sa mission s’appellera PROXIMA ;) via
https://t.co/gjIZqDJXl7

Big Data et exploitation des données mobiles au service du développement
http://t.co/AY6PqdpYVP
#mSciences #mData

Sciences participatives: des applis mobiles collaboratives pour l’observation et le suivi des oiseaux
http://t.co/zTjakSVFTQ
#MobileDurable

Institutions - Actualités

Des smartphones indiscrets et des applications intrusives (2)

Mardi 23 décembre 2014 - Catégorie(s) : Institutions.

 

Plusieurs équipes de recherches analysent la circulation des données qui sont enregistrées, stockées et diffusées par les smartphones. Pour la plupart, ces travaux consistent à sélectionner des applications parmi les plus téléchargées et les analyser en laboratoire. On parle dans ce cas d’analyses "in vitro". La CNIL, en collaboration avec l’INRIA, a entrepris d’analyser cette circulation des données « in vivo » auprès des utilisateurs eux-mêmes. Dans le cadre du programme Mobilitics, la CNIL et l’INRIA ont ainsi développé un outil capable de détecter et d’enregistrer les accès à des données personnelles par des applications ou programmes internes du téléphone (accès à localisation, aux photos, au carnet d’adresses, à des identifiants du téléphone, etc.).

Une première vague de tests en 2013 avait porté sur les smartphones équipés du système d’exploitation iOS (Apple). Sur les 189 applications utilisées par les volontaires dans le cadre de cette expérimentation, il ressortait que 93 % d’entre elles accédaient au réseau sans que ce soit toujours justifié ni que l’utilisateur en soit informé.

La CNIL vient de publier les résultats d’une seconde vague de tests qui portait sur les smartphones Android.

  • Un smartphone contient plusieurs identifiants techniques, matériels ou logiciels. Les applications accèdent souvent à ces identifiants, pour des besoins qui leur sont propres (dont la constitution de profils publicitaires). Sur iOS comme sur Android, entre 50 et 60% des applications testées ont accédé à des identifiants du téléphone. Les fabricants de systèmes d’exploitation, conscients du risque de surexploitation de ces identifiants, essayent parfois de limiter les usages de chaque identifiant par des moyens techniques ou juridiques. Cependant, les applications récupèrent souvent plusieurs identifiants différents dans le même appareil (sur Android, un quart des applications ont accédé à 2 identifiants ou plus).
  • La localisation est la donnée «reine» dans l’environnement des smartphones. Elle joue un rôle clé pour les services les plus utiles (car contextualisés) mais peut aussi constituer une intrusion importante dans les habitudes et comportements de la personne. Entre un quart et un tiers des applications accèdent à la localisation.
  • Ce qui retient l’attention, c’est la fréquence d’accès. Ainsi, une application de service de réseau social a pu accéder 150 000 fois en 3 mois à la localisation d’un des testeurs. Cela représente un accès en moyenne par minute.
  • Certaines applications qui ont obtenu l’autorisation (générique) d’accéder à la localisation ne se privent donc pas de l’utiliser, même lorsque l’application n’est pas visible à l’écran. D’une manière générale, beaucoup d’applications accèdent très souvent à la localisation (plus de 3 000 fois en 3 mois pour l’un des jeux testés).
  • En volume, la géolocalisation est aussi la donnée la plus collectée : elle représente à elle seule plus de 30 % des événements détectés, sans qu’elle corresponde à des fonctionnalités offertes par l’application ou une action de l’utilisateur.

Pour la CNIL, « l’éditeur du système d’exploitation n’est pas un acteur comme les autres : il définit les règles que les éditeurs d’applications doivent respecter. Il définit aussi quelles informations et quels outils de maîtrise sont à disposition de l’utilisateur. En fonction de leur stratégie, Apple (pour iOS), Google (pour Android) ou Microsoft (pour Windows Mobile) sont dans une situation privilégiée pour collecter et traiter des données. Certains services étant installés par défaut (et parfois impossibles à désinstaller), l’utilisateur n’a souvent pas d’autre choix que de laisser ces services accéder à des données. Certains de ces services sont particulièrement gourmands en matière de données. Par exemple, une application installée par défaut pour un de nos testeurs a procédé à plus d’un million d’accès à la localisation en 3 mois ».

Conformément à l’avis du G29 d’avril 2013 concernant les applications mobiles, la CNIL « souhaite que l’ensemble des acteurs de l’écosystème (éditeurs d’application, éditeurs des systèmes d’exploitation, responsables des magasins d’applications et tiers fournisseurs de services et d’outils mobiles) prenne la juste mesure de leurs responsabilités respectives pour améliorer l’information et les outils de maîtrise des données personnelles » (Source : CNIL).

 

Voir aussi :

Des smartphones indiscrets et des applications intrusives

Internet Sweep day : 27 autorités de protection des données auditent 1 200 applications mobiles

Protection de la vie privée : vers une notation des applications mobiles

Protection de la vie privée et mobile : échec de l’autorégulation aux États-Unis… et perspectives d’évolutions « post Snowden » 

Internet Sweep day : 27 autorités de protection des données auditent 1 200 applications mobiles

Internet Sweep day : la CNIL audite les 100 applications mobiles les plus utilisées par les Français

Smartphone et vie privée : les 10 recommandations de la CNIL

De nouvelles inquiétudes liées au ciblage sur les différents terminaux mobiles

États-Unis : de nouvelles règles pour protéger les données personnelles des enfants sur les mobiles