Vous prenez soin de refuser l’accès à vos données à certaines applications ? Parfois, cela ne sert à rien. Une étude rapporte que plus d’un millier d’applications Android contournent le système d’autorisation.
Lorsque vous utilisez une application pour la première fois, cette dernière vous demande une autorisation pour accéder à vos données – votre géolocalisation ou vos photos, par exemple. Si vous préférez garder certaines infos privées, vous êtes en droit de refuser. Mais parfois, cela ne suffit pas. Sur Android, certaines applications accèdent à vos données quoiqu’il arrive, même si vous ne leur en donnez pas la permission. C’est ce que révèle un rapport de l’International Computer Science Institute (ICSI).
1 325 applications trichent
Selon les chercheurs de cet organisme indépendant, plus d’un millier d’applications populaires sur les 88 000 testées contournent les autorisations du système d’exploitation mobile de Google. Elles parviennent ainsi à récolter vos données de géolocalisation et les identifiants de votre téléphone (numéro IMEI et adresse MAC) à votre insu. Parmi elles : les applications Disneyland et Samsung Health, téléchargées des centaines de millions de fois. Le spécialiste de la retouche et de l'impression de photos en ligne Shutterfly fait aussi partie des applis épinglées. La liste complète des 1 325 tricheurs sera dévoilée en août.
Plusieurs techniques possibles
Pour contourner les autorisations, les applis utilisent diverses techniques que les chercheurs ont pu identifier en analysant leurs codes informatiques. Certaines passent par des applications qui ont obtenu l’accord de l’utilisateur, et accèdent aux données via des fichiers partagés sur la carte SD de l’appareil. C’est le cas notamment de l’application du parc Disneyland de Hong Kong développée par l'entreprise chinoise Baidu. Ce type de technique est baptisé « covert channel ».
D’autres parviennent à géolocaliser l'appareil via l’adresse MAC du routeur Wifi auquel il est connecté. Shutterfly collecte simplement la localisation via les données des photos partagées sur l’appli, même si vous ne l’avez pas autorisée à accéder à votre géolocalisation. Interrogé par CNET, un porte-parole de la société nie les faits, contredisant le rapport des chercheurs.
« Les consommateurs n’ont en fait que très peu d’outils à leur portée pour contrôler raisonnablement leur vie privée et prendre des décisions à ce sujet », a estimé Serge Engelman, professeur à Berkeley et auteur du rapport, lors du congrès sur la vie privée PrivacyCon le 27 juin à Washington. Merci pour l’info Serge. Et on fait quoi maintenant ?
Google promet de s’occuper du problème
L’ICSI dit avoir prévenu Google de ces contournements dès le mois de septembre 2018. L’entreprise américaine a assuré que des modifications seraient apportées dans la nouvelle mise à jour de son système d’exploitation mobile, Android Q, qui devrait être lancée l’année prochaine.
LIRE AUSSI :
Data brokers, granularité, cruncher… Petit lexique spécial données
Quand une application trahit l'identité d'une journaliste d'investigation
Sur le Web, vos photos oubliées continuent d’être exploitées
Participer à la conversation