Publié le 2 juin 2022, modifié le 2 juin 2022.
Par La Rédaction

Que font les applications mobiles de nos données ?

Publié le 2 juin 2022, modifié le 2 juin 2022.
Par La Rédaction

Les développeurs publiant des applications sur les stores doivent remplir une nouvelle section sur la sécurité des données. L’objectif : accroître la transparence en informant les utilisateurs de la manière dont les applications recueillent leurs données avec quel but.

Un rapport de Pradeo constate que le contenu de cette section (la sécurité des données) est purement déclaratif et camoufle de graves exfiltrations de données. Aux antipodes de sa raison d’être, cette section est aujourd’hui souvent détournée par les développeurs pour duper les utilisateurs et voler leurs données à leur insu. Un smartphone est une source intarissable d’informations personnelles et professionnelles, que les applications mobiles manipulent au gré de leurs activités. Une donnée peut être traitée par une application mobile de différentes manières :

L’information est accédée par l’application.
L’information est stockée par l’application dans le système de fichier, dans une base de données locale, les ressources partagées, les logs, le presse-papier…
L’information est envoyée hors de l’appareil via internet ou le réseau cellulaire.

Contrairement à ce que l’on pourrait penser, les applications mobiles collectent très souvent les données personnelles de leurs utilisateurs sans que cela soit nécessaire à leur fonctionnement. Les informations collectées sont alors revendues à des multinationales faisant du profiling, ou parfois envoyées vers des serveurs appartenant à des tiers malveillants.

Le moteur de Pradeo analyse chaque année des millions d’applications mobiles afin de révéler leur niveau de sécurité et de conformité. Pour établir un constat sûr, ces analyses identifient toutes les manipulations de données réalisées par les applications. De cette manière, leur outil constate par exemple que 20 % des applications mobiles envoient les photos, vidéos et fichiers audio des utilisateurs hors de leur appareil, 14 % en font de même avec les contacts !

Fausses déclarations

Depuis la mise en place de la section “Sécurité des données” sur le Google Play et “Confidentialité de l’app” sur l’App Store, les développeurs doivent déclarer à la publication de leur application si elle collecte des données de ses utilisateurs, dans quelle mesure et si elle les partage avec des tiers. Seulement voilà, les détails fournis ne sont pas toujours le reflet de la réalité. Le rapport montre que sur un échantillon de 5 000 applications iOS et 5 000 applications Android publiées en ligne en mai 2022 et dont la section sur la sécurité des données est renseignée, 17 % des applications Android annoncent ne pas collecter de données personnelles, alors qu’en réalité elles les exfiltrent via le réseau. Le pourcentage atteint les 19 % sur iOS. Ce sont ainsi des millions d’utilisateurs qui ont été induits en erreur, et plus continuent de l’être chaque jour.

La politique de confidentialité, ce n’est pas nécessairement un accord. Il s’agit plutôt d’un avis ou d’une divulgation sur les pratiques de confidentialité d’une entreprise. Donc, en termes de ce que l’avis peut faire, il ne peut dire au consommateur que ce que fait une entreprise, puis le consommateur doit décider s’il est à l’aise ou non avec ces pratiques. Apple a pris des mesures pour exiger que les applications aient une étiquette nutritionnelle contenant davantage d’informations de haut niveau et faciles à digérer sur ce que fait une application (voir le tweet ci-dessus). Vous allez pouvoir voir que certaines de ces applications cherchent à rendre les informations sur leurs pratiques plus accessibles afin que les consommateurs puissent prendre une décision différente sur la façon dont ils utilisent ou interagissent avec cette application. Maintenant, comme le rappelle Pradeo, une chose est de déclarer, une autre est de pratiquer la privacy !

Lire aussi