Depuis un peu plus d'un an, les études sur les applications sur smartphones et tablettes n'ont cessé de prendre de l'ampleur. Pour un résultat invariable : les applications scrutent nos moindres faits et gestes. Dernier épisode en date : une enquête massive de la Commission nationale de l'informatique et des libertés (Cnil).
Décidément, la Cnil voit désormais les choses en grand. Mardi 9 avril, celle-ci a présenté les résultats d'une enquête réalisée en partenariat avec l'Institut national de recherche en informatique et en automatique (Inria). Après un an d'étude sur six iPhone volontaires et 189 applications, la Commission nationale de l'informatique et des libertés tente de répondre à la question suivante : nos smartphones sont-ils des espions ?
Cette action de la Cnil et de l'Inria est loin d'être la seule à s'être lancée sur ce terrain. Aujourd'hui, de nombreuses institutions publiques et sociétés privées réparties à travers le monde ont en effet choisi d'observer avec attention le comportement des applications installées sur nos smartphones et autres tablettes. Des choix qui cristallisent une inquiétude grandissante au sujet du secteur des nouvelles technologies de l'information et de la communication.
Des informations personnelles subtilisées massivement
Contrairement aux initiatives jusqu'à présent mises en œuvre pour déterminer jusqu'à quel point les données des utilisateurs sont captées, l'étude de la Cnil et de l'Inria dispose d'un outil à même de détecter et d'enregistrer lorsqu'une ou des applications ou programmes internes au smartphone accèdent à des données personnelles. Autrement dit, le système utilisé permet de déterminer à quel moment un programme accède par exemple à la localisation, aux photos, au carnet d'adresses ou encore aux identifiants du téléphone.
Afin d'effectuer ce que la Cnil appelle une analyse "in vivo", cette dernière et l'Inria ont installé et paramétré ce programme spécifique sur six iPhones durant trois mois. Par la suite, des volontaires de la Cnil ont accepté d'utiliser ces smartphones comme s'il s'agissait des leurs. Une façon de rendre l'expérience plus réaliste. Le constat a été, comme le souligne la Cnil, sans appel : sur les 189 applications évaluées, 176 utilisent internet ou accèdent au réseau sans aucune justification. En outre, pas moins de 87 applications sont parvenus à obtenir l'identifiant unique de l'iPhone (UDID).
Ainsi, les développeurs recueillent massivement les données des utilisateurs de façon à pouvoir les pister à l'avenir. Dans cette logique, l'application d'un quotidien a utilisé pas moins de 1989 fois l'identifiant unique du smartphone, le transmettant par ailleurs à l'éditeur du programme à 614 reprises. À noter que parmi les applications évaluées, plus de 30 % accèdent aux informations de géolocalisation, 19 entrent dans les comptes et 15 s'introduisent dans le carnet d'adresse.
Selon la Cnil, ces observations ont permis de reconnaitre plusieurs acteurs du secteur obtenant les informations personnelles grâce à des cookies. Bien que l'on retrouve parmi eux des habitués du traçage en ligne, quelques nouveaux acteurs essentiellement tournés vers le mobile ont fait leur apparition.
Des données envoyées à l'autre bout du monde
On pourrait naïvement penser que ces informations ne sont recueillies et utilisées que par l'application en question, mais ce n'est malheureusement pas toujours le cas, d'après le blog Naked Security, spécialisé dans la sécurité informatique. Ce dernier relaye d'ailleurs une étude inquiétante du Sunday Times démontrant que les applications sondées ne dévoilent pas les noms des destinataires à qui sont transmises les données personnelles, laissant les utilisateurs dans le doute.
Toujours selon le quotidien du dimanche britannique, certaines données auraient néanmoins été envoyées vers des entreprises et serveurs en Chine, en Inde, en Israël ou encore aux États-Unis. Problème : ces dernières ne seraient pas toujours protégées et cryptées.
Les enfants, une cible de choix
Une autre investigation de ce type, publié en décembre dernier et menée par le gendarme américain du commerce chargé de la protection des consommateurs (FTC) a permis d'identifier des pratiques plus étonnantes encore. Celui-ci a en effet constaté qu'une grande majorité des applications sur smartphones et tablettes se servaient des données personnelles des enfants sans prévenir les parents.
Ainsi, pas moins de 60 % des 400 applications les plus célèbres sur les boutiques en ligne de Google et d'Apple transmettent à la fois le numéro du smartphone, le numéro d'identification ou encore les données de géolocalisation aux développeurs et commerciaux. Reste à savoir si des mesures seront prochainement mises en place pour limiter de telles pratiques.
Sources : Cnil, Naked Security, Sunday Times, FTC, Le Nouvel Observateur, Le Monde