DÉCRYPTAGE
Applications mobiles

Tous espionnés

Position GPS, adresse e-mail, numéro de téléphone… Certaines applications mobiles collectent les informations personnelles des utilisateurs, sans leur accord, et les envoient à des sites tiers à des fins publicitaires. Souvent, elles sont même envoyées sans aucun cryptage : n’importe qui peut alors y accéder !

SOMMAIRE

Réseaux sociaux, jeux, vidéos, navigation, météo, transport, achats… Des applications mobiles, il en existe des milliers et les consommateurs en raffolent. En moyenne, les utilisateurs de smartphones en installent une trentaine sur leur appareil. Le plus souvent, elles sont gratuites, simples et pratiques. Les plus populaires ? Facebook et Facebook Messenger (pour la discussion instantanée), et de loin (1). Dans le top 20 des applis les plus téléchargées arrivent ensuite des jeux (Farm Heroes, Candy Crush), des applications de partage de photos (Snapchat, Instagram) ou liées à la musique (Shazam, Deezer). Les applis de météo et de certains médias sont également très consultées.

Des applis bien trop curieuses

Nous avons voulu savoir si les éditeurs de ces applications respectaient la vie privée des utilisateurs. Nous en avons donc sélectionné 34, installées sur différents smartphones (iOS, Android, Windows Phone). Puis nous avons analysé les données envoyées dans le cadre d’un usage normal. Résultat : 8 posent de réels problèmes de confidentialité, 10 se révèlent plutôt risquées et 16 (la majorité, ouf !) sont fiables.

Au-delà des données personnelles envoyées, notre test a consisté à en savoir plus sur le comportement des applications. Nous avons notamment vérifié que l’éditeur avait au moins la courtoisie d’informer l’utilisateur quant à la nature des données transmises, à défaut de lui demander l’autorisation. Nous avons également constaté que certaines applications récoltent des informations alors qu’elles n’en ont absolument pas l’utilité pour fonctionner ! Qu’une application de navigation ait besoin de votre position GPS ne pose évidemment aucun problème ; qu’elle veuille connaître la définition de l’écran de votre smartphone pour optimiser l’affichage est parfaitement compréhensible ; mais qu’un journal recueille le nom de votre opérateur mobile, votre adresse e-mail ou encore l’espace de stockage disponible dans votre téléphone semble moins indispensable…

De surcroît, les données sont souvent envoyées sans aucun cryptage : n’importe quel curieux peut intercepter le flux et lire les informations qu’il contient sans aucune difficulté, c’est d’ailleurs précisément ce que nous avons fait. Lorsque l’application prend la peine de protéger les communications, quelques compétences en cryptage informatique permettent de déchiffrer les flux protégés par le protocole SSL. Il est alors facile d’accéder à toutes les informations transmises, et notamment, dans certains cas (Fnac, Yahoo, Voyages-sncf, Ebay, Facebook, Twitter, Skype…) aux identifiants et mot de passe des utilisateurs ! Quelques applications posent des verrous assez costauds pour que les flux restent indéchiffrables. Bon point pour la confidentialité, mais nous n’avons alors pas pu voir quel type de données était transmis (Dropbox, Waze, Carrefour Drive…).

Publicité, le nerf de la guerre

Évidemment, nous avons aussi regardé attentivement à qui toutes ces informations étaient envoyées. Les applications les transmettent d’abord à des sites liés, nécessaires à leur bon fonctionnement. Il s’agit, par exemple, de prestataires techniques, appelés CDN (Content Delivery Network), qui assurent une bonne qualité de service et une optimisation de la bande passante (Akamai, Cloudfront ou Amazon web services). Ces sites sont toutefois loin de constituer la majorité des destinataires. Ceux à vocation commerciale sont bien plus nombreux. Ils sont spécialisés dans la diffusion de publicité, le profilage d’utilisateurs, la mesure d’audience, les statistiques ou encore le marketing comportemental, et se délectent de la moindre information vous concernant, vous ou votre téléphone. Autant de techniques mercantiles nées avec Internet, désormais adaptées à l’Internet mobile. Comme la télévision et l’ordinateur avant lui, le smartphone est surtout un nouvel écran, support de premier choix pour diffuser de la publicité. D’autant qu’il est niché en permanence dans nos poches. Rien de scandaleux, la publicité est source de revenus pour les fournisseurs de contenus quels qu’ils soient (presse écrite, émissions de télévision, sites Internet, etc.) depuis des décennies. Fournir les données personnelles d’utilisateurs, à leur insu, à des sociétés qui les agrègent pour revendre aux annonceurs des profils bien ciblés, voilà qui est plus contestable. Un exemple flagrant, Shazam (application de reconnaissance musicale), qui envoie vos coordonnées GPS à une horde de publicitaires. Nous avons donc jugé assez sévèrement les applications trop généreuses, qui envoient des informations à trop de ces sites tiers. Les applications des medias sont particulièrement loquaces (6Play, MyTF1, Le Monde) mais les réseaux sociaux (Facebook, Linkedin) et certains commerçants (Fnac, notamment) ne se gênent pas non plus.

Un comportement lié au système

Lorsqu’elles sont disponibles sur plusieurs systèmes d’exploitation mobiles iOS (Apple), Android (Google) et/ou Windows Phone (Microsoft), les applications ne se comportent pas toujours de la même manière. Par exemple, l’application 6Play, éditée par la chaîne M6, envoie le nom de l’opérateur mobile dans sa version Android, mais pas dans sa version iOS. MyTF1 expédie les informations à 50 sites tiers sur iOS, contre 32 sur Android et 10 sur Windows Phone. PagesJaunes n’informe ses utilisateurs de l’envoi de leurs données personnelles que sur Android (via un lien vers la politique de confidentialité, sur lequel il faudra bien entendu avoir cliqué…). Le système d’Apple est celui qui laisse au consommateur la plus grande marge de manœuvre pour maîtriser ses données. Dans iOS, l’emploi des données de géolocalisation est liée à une autorisation de l’utilisateur pour chaque application. Même chose dans Windows Phone. En revanche, sous Android, système développé par le champion toutes catégories de la publicité en ligne Google, rappelons-le, l’installation de l’application vaut acceptation de l’exploitation des données. Seules échappatoires possibles : couper globalement la géolocalisation ou tout simplement renoncer à l’application présente dans Google Play Store.

Nos conseils

Dans les faits, il est difficile de se prémunir contre l’exploitation de ses données personnelles par les applications installées sur le smartphone. Mais quelques ajustements sont possibles.

  • Installez uniquement les applications qui vous sont utiles. Toutes les boutiques d’applis donnent un descriptif à lire avant de télécharger. Les avis des utilisateurs peuvent aider, même s’il faut, comme ailleurs, s’en méfier. Accumuler des applis sans s’en servir est inutile et réduit l’espace de stockage de votre smartphone.

  • Faites régulièrement le ménage des applications qui ne vous servent pas. Utilisateurs d’Android, sachez qu’en fonction de la version du système installée sur votre smartphone, il est possible qu’une application tourne en tâche de fond sur votre appareil (et donc envoie des informations) même si vous ne l’employez pas. Les versions les plus récentes d’iOS et de Windows Phone permettent de fermer complètement les applis.

  • Ajustez les paramètres de confidentialité au plus fin. Si Android conditionne l’installation d’une application à l’acceptation par l’utilisateur de l’exploitation de ses données, iOS et Windows Phone sont plus souples. Sur un iPhone, il est possible de donner son accord manuellement pour l’accès à sa position géographique. On peut également voir et modifier dans les réglages (rubrique « Confidentialité ») quelles applis accèdent aux contacts, au calendrier, etc. On peut aussi limiter le suivi publicitaire. Attardez-vous sur ces paramètres.

  • Évitez de vous connecter en Wi-Fi dans les lieux publics. Lorsque les applications communiquent les informations en clair, n’importe qui peut potentiellement les lire lorsqu’il est connecté au même réseau.

  • Utilisez différents mots de passe. Variez les mots de passe des applications et choisissez-les plutôt compliqués, en alternant chiffres, signes, majuscules et minuscules.

  • Jouez en mode avion. Les petits jeux addictifs gratuits, comme Candy Crush ou 2048, affichent de la publicité pendant votre partie. Pour être tranquille, il suffit de jouer en coupant sa connexion au réseau mobile.

Consultez notre analyse

(1) Source : App Annie, juillet 2014.

Lire aussi

Soutenez-nous, rejoignez-nous

La force d'une association tient à ses adhérents ! Aujourd'hui plus que jamais, nous comptons sur votre soutien. Nous soutenir

image nous soutenir

Newsletter

Recevez gratuitement notre newsletter hebdomadaire ! Actus, tests, enquêtes réalisés par des experts. En savoir plus

image newsletter