Il y a un peu plus d’un an, la CNIL avait fait une étude sur l’utilisation des données personnelles par les applications mobiles sous iOS, et les résultats étaient peu glorieux, l’accès aux données personnelles étant massif et généralisé… Une nouvelle étude réalisée cette fois sous Android montre que la situation est à peine meilleure sous l’OS de Google.
L’étude, qui portait sur 121 applications issues du Play Store (contre 189 pour l’étude iOS) utilisées pendant 3 mois montre que les accès au réseau sont bien moins fréquents sous Android( 66% des applications contre 93), tout comme les accès à l’identifiant unique du téléphone (34% contre 46%). C’est également un peu mieux pour l’accès à la géolocalisation (24% contre 31%).
Les applications Android sont par contre beaucoup plus curieuses vis à vis des contacts (17% contre 8%), un chiffre qui s’explique peut-être par le fait qu’iOS demande une autorisation explicite via un popup lorsqu’une application souhaite accéder au carnet d’adresses.
La CNIL a également mesuré les accès à plusieurs données d’identification, qui n’étaient pas présentes dans l’étude précédent, et dont certaines semblent particulièrement intéresser les éditeurs d’applications : le nom de l’opérateur mobile (23%), l’IMEI (20%), l’adresse MAC de la puce Wi-Fi (7%), le numéro de téléphone (6%), l’identifiant de la carte SIM (5%) et la liste des points d’accès Wi-Fi connus (4%). Pour rappel, en faisant des croisement de données sur la base de cette dernière information, il est possible de détecter des liens entre personnes, comme l’a démontré il y a quelques années une équipe de chercheurs de l’INRIA.
Outre la proportion d’applications accédant aux données personnelles, la CNIL dénonce également la fréquence particulièrement élevée d’accès à ces données dans certaines applications. Ainsi, l’une des applications a accédé plus d’un million de fois à la localisation en à peine 3 mois (soit en moyenne plus d’une fois toutes les dix secondes !), alors qu’il ne s’agissait pas d’une application de navigation. Outre l’intrusion dans la vie privée, ce genre de comportement est probablement pénalisant pour l’autonomie des appareils.
Enfin, même si l’étude portait principalement sur des applications tierces, la CNIL précise que les applications Google ne sont pas en reste, puisque le Play Store détient la palme des accès à la localisation, avec 1.6 millions d’accès en 3 mois, dont près de 300 000 via GPS, tandis que le widget météo et actualités a réalisé 1.5 millions d’accès… Si l’accès à la localisation est effectivement nécessaire pour un tel widget, pour afficher la météo du bon endroit, on peut s’interroger sur la pertinence d’accès aussi fréquents : même en déplacement à grande vitesse, un accès toutes les cinq ou dix minutes devrait être largement suffisant compte tenu de la résolution spatiale des informations météorologiques…
Il y a donc encore beaucoup à faire pour que nos smartphones ne soient plus un open-bar à données personnelles pour les éditeurs de logiciels mobiles, et malheureusement les choses ne semblent pas toujours aller dans la bonne direction. On attend par exemple toujours l’arrivée sous Android d’une gestion plus fine des autorisations, qui était apparue dans la version 4.3 sous la forme d’un menu caché, avant d’être rendue inaccessible sans root dans les versions ultérieures…
Je n’utilise que très peu d’applications tierces (en vrac : MyCars ou MesVoitures, OruxMaps, AndieGraph) qui au vu des autorisations demandées me semblent correctes. Après, reste les GoogleApps…
Mais si l’on bloque l’accès au réseau d’une application intrusive qui n’a pas besoin d’internet pour fonctionner, est-ce suffisant ?
Oui, ça devrait être suffisant… Mais malheureusement ni Android ni iOS ne proposent nativement un moyen de faire ça, faut passer par des applications tierces qui le plus souvent nécessitent le root/jailbreak.
C’est vraiment dommage, Android a une gestion très détaillée des autorisations, mais par défaut ça ne fonctionne qu’en mode tout ou rien 🙁 Et c’est à peine mieux pour iOS (de mémoire il y a que l’accès aux contacts et à la localisation qui peuvent être bloqués application par application).