L'application météo AccuWeather pour iOS a fourni des données de localisation à une société tierce, Reveal Mobile, spécialisée dans leur utilisation commerciale. Même une fois la géolocalisation coupée, le service pouvait s'appuyer sur les réseaux Wi-Fi pour trouver l'emplacement de l'utilisateur. Ce qu'elle nie avoir effectué.
AccuWeather sort le parapluie. Le service de météo a commis quelques imprudences avec les données de ses clients, via son partenariat avec Reveal Mobile, qui exploite la géolocalisation des mobinautes à des fins commerciales. Le 22 août, le chercheur en sécurité Will Strafach accusait l'entreprise d'intégrer à son application un SDK capable de situer l'utilisateur grâce aux informations des réseaux Wi-Fi (nom et BSSID) auquel l'appareil est connecté.
Ces données s'ajoutent à la géolocalisation GPS classique (dont la vitesse et l'altitude) et l'état du Bluetooth (activé ou non). Reveal Mobile promet à ses partenaires de générer des revenus sans publicité. « La valeur tient dans la compréhension du parcours du consommateur et où ils vont au fil de la journée. Voyager de la maison au travail, au magasin, à l'entrainement de football puis au restaurant est vital pour connaître le client et représente une nouvelle opportunité de la géolocalisation mobile » écrit-elle sur son site.
Des données non-exploitées, mais le SDK retravaillé
Dans un communiqué, AccuWeather a d'abord répondu que les accusations étaient exagérées. L'entreprise rappelle que les données GPS ne sont pas fournies si la permission de géolocalisation est refusée à l'application et affirme que les informations sur les réseaux Wi-Fi ne sont pas utilisées. Elle admet tout de même qu'elles ont bien été transmises à Reveal Mobile « sur une courte période »... sans être pour autant exploitées, déclare-t-elle.
Dans un second communiqué publié le lendemain, le service météo dit avoir supprimé le SDK de Reveal Mobile de son application, pour la réintégrer quand elle respectera certaines obligations. « Reveal a déclaré que le SDK pouvait être mal compris, et il assure qu'aucune rétroingénierie des lieux visités n'a jamais été effectuée sur les informations rassemblées. Cela n'a jamais été son intention » tente de rassurer la société.
Une transparence toujours difficile
Le cas d'AccuWeather n'est qu'un épisode de plus dans la longue saga des entreprises qui collectent des données sans que l'utilisateur ne le sache. La société elle-même ignorait la récupération d'informations sur les réseaux Wi-Fi. Pourtant, dans ses deux communiqués, elle se targue de respecter la vie privée de ses utilisateurs, et d'importants efforts de transparence, qui n'ont pas payé ici.
En avril, c'était le service Unroll.Me, qui propose de nettoyer les boites e-mail des internautes, qui avait connu la tourmente. Le service gratuit avait revendu à Uber des informations liées au contenu agrégé des boites de ses utilisateurs, sans leur en avertir explicitement. De quoi agacer une partie d'entre eux, même si la commercialisation des données doit devenir bien plus cadrée dans l'Union européenne à partir de mai prochain, avec l'application du Règlement général de protection des données (RGPD), pour lequel nombre d'entreprises ne sont pas encore prêtes.
Commentaires (28)
#1
Vous êtes de mauvaises langues.
C’est pour assurer de meilleures prévisions en fonction des microclimats locaux
#2
Vos confrères de Numerama ont sorti hier un excellent article sur les pratiques de Teemo qui propose un “SDK-cheval de Troie” utilisé par de nombreuses applications (Figaro, Equipe, Météo-France…) :http://www.numerama.com/politique/282934-enquete-comment-les-apps-figaro-lequipe…
#3
Excellent article avec de nombreuses erreurs…
#4
#5
J’en entendu parle de ça à la radio ce matin, et je suis allé lire l’article (en diagonale). Seulement ils ne publient pas la liste de ces fameuses 50 applications, ce qui a le don de m’exaspérer. D’un côté on veut alerter, mais de l’autre on n’en dit pas trop non plus. Je souhaite prendre connaissance de cette liste afin de désinstaller ces applications si j’en ai une sur mon smartphone : je fais comment ?
Autre question : comment fait-on pour obtenir la liste des applications / services qui tournent en arrière plan, même quand on les ferme de force via le gestionnaire d’applications actives ?
#6
#7
Ils ne publient pas la liste car ils ne l’ont pas. Il s’agit là de confidentialité commerciale entre Teemo et ses clients.
#8
En attendant que ce soit intégré à des applis de sécurité (Addons Detector sur Android est en train de regarder par exemple), une méthode manuelle :
https://twitter.com/KanorUbu/status/900760983743889408
@Cellular : quelles erreurs, tu peux détailler un peu ?
#9
Sur Android ou sur iOS ?
Sur iOS si l’appli est fermée manuellement (ou crash) plus rien ne peux tourner en tâche de fond pour cette dernière. D’ailleurs Apple limite à 30 minutes d’utilisation de CPU les requêtes en tâche de fond. Donc si tu ne te sers pas souvent de ton appli au bout d’un moment elle n’aura plus le droit de faire des trucs en tâche de fond (aussi bien positif comme du refresh de contenu, que negatifs comme du tracking). D’ailleurs le “toutes les 3 minutes” du coup est erronée, car c’est le scheduleur d’Apple qui décide de quand une requête en tâche de fond est exécuté.
Sur Android c’est beaucoup plus relou car une appli peut tout à fait faire une tâche récursive dans le gestionnaire de tâche. Car il n’y pas de notion de “background” sur cette OS (une gestion par activity seulement). Du coup tu dois chercher process par process ceux à kill, un peu comme à l’ancienne sur windows ^^
#10
Pour ceux qui ont un smartphone Android rooté : installer AdAway https://adaway.org/) via F-Droid et rajouter “databerries.com” dans la liste noire.
#11
#12
C’est annexe, mais sauf erreur, la prochaine version iOS 11 va affiner l’accès au GPS et on pourra demander à ce que l’application n’y accède que quand l’application est lancée.
Cela va réduire les mouchard comme Waze qui demande l’accès au GPS et l’utilise en continue.
J’ignore si il y a quelques choses de similaire pour le Wifi ou le Bluetooth
#13
PI
http://www.numerama.com/politique/283693-les-inconnues-du-dossier-teemo-quelques…
#14
Oui mais le rédacteur de Numérama a bien mis la main dessus puisqu’il en a fait un article. Et il n’est pas un client de la société que je sache
#15
Tu peux détailler un peu la méthode ? Je suis incapable de comprendre l’organisation d’une page twitter, et le lien proposé ne semble pas fonctionner.
#16
Sur Android pardon. non rooté je précise.
#17
Sur Android Google Play, installe Addons Detector, ils viennent de l’intégrer à leur database, une fois mise à jour et scannée, tu peux trouver dans les extensions, c’est dans le filtre “Analyses” : il faut regarder appli par appli s’il y a le nom Teemo, si oui (ex. L’Équipe), elle est concernée…
#18
Bon, je teste de suite
#19
Bon ok, alors j’ai “AlloCiné” et “La Chaîne Météo” concernées sur mon appareil. Enfin j’avais, elles n’y sont désormais plus.
Et parmi la quantité d’autres extensions, comment puis-je me renseigner sur leurs rôles afin d’être capable de déterminer par moi-même ce que je souhaite conserver ou non sur mon appareil ?
#20
C’est compliqué, entre les pubs, le tracking / géolocalisation, les données analytiques, les crash reports… à chacun de voir ce qu’il veut ou non partager et avec quel éditeur, en échange d’une appli (gratuite ou pas, certaines payantes enlèvent des annonces, d’autres non).
Après sur un smartphone rooté on a plus de marge, Android 8 va aussi encore affiner les autorisations données.
#21
#22
Android 8 sera plus souvent mis à jour par les opétateurs/constructeurs car ils ont grosso modo séparé les fonctions bas niveau des autre. ça sera moins long pour ces derniers d’adopter les modifs de Google :)
#23
On nous l’a fait à chaque fois celle là, pourquoi les constructeurs feraient la maj quand ils peuvent te la vendre avec leur nouveau flagship de la mort a 700balles :/
Pour en revenir à la news, apparemment zero apps touchées pour ma part, de toute façon je préfère consulter le site Web mobile directement plutôt que d’avoir une app pour chaque site.
#24
Ca donne envie quand même de leur faire subir un bon cassage de gueule à ces enflures, non ?
#25
C’est vrai, mais cette fois si j’ai un peu plus confiance :)
Enfin, après on verra bien ce qu’il en est.
#26
Mais c’est déjà le cas depuis iOS 9 non ?
Quand je vais dans les paramètres de localisations des applications, j’ai bien le choix Jamais/Lorsque l’app est active/Toujours. Par exemple Waze, les 3 options sont disponibles.
Après les options ne sont pas identiques pour toutes les apps, c’est peut être ça la nouveauté ?
#27
En effet, c’est le cas sur iOS 9 mais je demande si ce n’est pas venu dans une màJ récente, je n’avais pas vu ce triple choix il y a quelques mois.
A moins que Waze a mis à jour son application et propose maintenant ce triple choix.
#28
Je crois que Waze a effectivement fais une mise à jour, car la localisation était toujours active à cause de l’option “suivi de position” (qui était désactivable) même quand l’app était fermée.
D’ailleurs cette option a disparu, ou alors elle est bien cachée.