Plusieurs chercheurs français se sont penchés sur la sécurité du Wi-Fi sur les smartphones Android. Même désactivé, il continue d'émettre certains signaux. De quoi permettre un profilage assez précis des clients, une pratique répandue, aux multiples facettes.
Célestin Matte (doctorant), Mathieu Cunche (maître de conférences à l'INSA-Lyon, laboratoire CITI et équipe Privatics d'Inria) et Vincent Toubiana (CNIL) ont publié récemment un rapport posant la question : la désactivation du Wi-Fi peut-elle prévenir un smartphone Android d’émettre des signaux de cette technologie ? Réponse simple : non.
Les auteurs montrent qu’une option permet à la puce Wi-Fi de continuer à travailler : Always allow scanning ou Recherche toujours disponible. Elle permet la détection des points d’accès pour que l’utilisateur n’attende pas quand il réactive le Wi-Fi, mais aussi leur utilisation pour obtenir des informations de positionnement, pour ne pas se reposer uniquement sur le GPS.
« Nous avons dans nos poches des appareils qui communiquent en radio et, lorsqu’ils diffusent des signaux, leur adresse MAC permet de tracer des personnes » nous résume Mathieu Cunche, lors d'un entretien. L'occasion pour nous de faire le point sur les obligations et les pratiques en la matière.
L’adresse MAC au centre du sujet
Cette adresse MAC (Media Access Control), est matérielle et unique. Elle identifie notamment la puce et n’a donc aucun rapport avec l’adresse IP. Elle fait partie d’un lot d’informations particulièrement précieuses pour l’identification d’un appareil, même si des techniques permettent d’en réduire l’importance (ou même de la falsifier).
Dans le rapport, les auteurs ont examiné de près plusieurs modèles de smartphones. Puisque la désactivation du Wi-Fi ne suffit pas, ils ont également cherché le second réglage, pour un blocage complet.
Les constructeurs ont en effet la possibilité de modifier le système Android comme bon leur semble. Dans un Galaxy S3 utilisant la version 4.3, l’option se trouve par exemple dans Système, Wi-Fi > Avancé. Dans un Moto G5 sous Android 7.0, elle se situe par contre dans Paramètres > Localisation > Recherche. Selon le modèle, il faudra donc fouiller.
Mais dans d'autres cas, comme celui du OnePlus One sous Android 6.0.1, il n'y a rien et l’utilisateur ne peut pas s'opposer à l’émission de son adresse MAC et sa récupération par des bornes dédiées à cet usage.
De précieuses informations pour les magasins
Si ces questions sont importantes, c’est parce qu’un nombre croissant de boutiques et de grands magasins utilisent ces émissions de données pour déterminer la manière dont leurs rayons sont visités. C’est un cas classique de « heat mapping » : avec les outils adaptés, une enseigne peut déterminer combien de personnes sont venues, si elles sont bien sûr équipées d’un smartphone, etc. (notre actualité).
« Le procédé a été récupéré par les industriels qui ont développé des systèmes de traçage Wi-Fi. Il existe aussi pour le Bluetooth, mais le Wi-Fi est plus efficace car plus souvent activé. Ce sont des capteurs passifs qui vont écouter les requêtes émises par les appareils qui cherchent des points d’accès, à une fréquence qui peut aller jusqu’à plusieurs fois par minute, toujours avec l’adresse MAC » nous explique Mathieu Cunche.
Le chercheur nous précise que les magasins sont friands de ces informations car ils ne disposaient pendant longtemps que des celles des terminaux de paiement. Or, comme on s’en doute, ces derniers ne permettent de savoir que le nombre de clients ayant réellement procédé à un achat et le montant dépensé.
Un ciblage qui peut s'avérer très précis
Si suffisamment de bornes sont mises en place, particulièrement quand la surface devient importante, il devient possible de suivre précisément les déplacements d’un client. L’objectif est alors d’obtenir une carte des flux, afin de mieux cerner les rayons qui attirent le plus, comment évoluent les clients dans le bâtiment, les éventuels goulets d’étranglement, etc.
Le danger principal d’un tel profilage est la conception de publicités très ciblées, poussées ensuite sur des panneaux d’affichage ou même dans d’autres applications mobiles. Un tracking publicitaire qui, s’il n’est pas nouveau, peut participer à un certain malaise devant cette capacité à suivre de près chacun de nos faits et gestes.
C'est d’autant plus sensible qu’en fonction des bornes, une enseigne peut pousser loin la cartographie des habitudes de vie. Lors d’une expérience dans un pub anglais, il devenait ainsi possible de savoir combien de fois par semaine un client revenait consommer, combien de temps il restait sur place, ou même de connaître son sexe puisque des bornes étaient installées dans les toilettes.
Notez que les commerces ne sont pas les seules entités à pouvoir profiter de tels systèmes de tracking. Une entreprise ou une municipalité peut très bien y avoir recours pour obtenir là encore des indications sur les déplacements et les flux de personnes par exemple.
Une obligation d'information
Comme nous l’explique Mathieu Cunche, des entreprises se sont spécialisées dans ce domaine d’activité depuis plusieurs années. Aux États-Unis par exemple, Euclide Analytics propose de telles bornes. En France, Fidzup et Trencube font la même chose. Une pratique qui s’est répandue petit-à-petit.
Ce qui est fait exactement des données dépend à la fois du magasin et du prestataire choisi. Nous nous sommes ainsi entretenus avec Guillaume Lebret, dirigeant de la société Trencube, basée à Toulouse. La portée de sa solution est clairement délimitée : « Nous utilisons le Wi-Fi via des bornes passives qui se servent des tentatives de connexion. Mais on se limite au comptage et aux statistiques. Les adresses MAC sont capturées puis effacés, le client n’y a pas accès ». Il nous assure que du côté de son entreprise, la déclaration à la CNIL a dûment été remplie.
Les positions de la CNIL et de la FTC américaines sont d'ailleurs peu ou prou les mêmes sur la question : les magasins qui se livrent à un profilage de la clientèle ont l’obligation de l'en informer. C’est le cas au BHV Marais de Paris, qui n’a pas souhaité répondre à nos questions, ou d'Unibail Rodamco comme l'ont relevé récemment certains clients.
L'anonymisation : un point essentiel
Le profilage peut être mené selon deux axes très différents. Dans le premier, le magasin anonymise les informations pour obtenir une masse brute servant uniquement à analyser les flux et la fréquentation dans sa surface de vente.
Cela peut passer par la suppression des informations une fois que le porteur du smartphone est sorti du magasin ou par un algorithme d'anonymisation qui doit correspondre à des critères précis : « il doit assurer un fort taux de collision, c'est-à-dire qu'un identifiant en base doit correspondre à de nombreuses personnes. L'utilisation d'un tel algorithme permet notamment d'estimer les taux de retour des personnes dans un magasin avec un taux d'erreur non préjudiciable pour le commerçant tout en permettant d'assurer le respect de la vie privée de ses clients » précise la CNIL.
Dans le second cas, la boutique décide de stocker les données personnelles qui permettent d'identifier l'utilisateur. Elle doit pour cela obtenir un consentement « préalable et éclairé », que la Commission définit « par une action positive (par exemple, accoler son téléphone sur un boitier spécifique) ». Un point rarement respecté.
Le magasin tombe également sous le coup de la loi Informatique et libertés de 1978 avec au minimum l'obligation d'une déclaration à la CNIL et l'obligation de respecter l'exercice du droit d'accès, de rectification et d'opposition des personnes.
Mathieu Cunche nous précise que dans la pratique, il faut le plus souvent contacter le magasin et donner son adresse MAC afin qu’elle ne soit pas prise en compte en cas de détection. Une procédure lourde, qui risque fort peu de motiver les utilisateurs à y recourir… quand ils sont clairement avertis.
Quels mécanismes de défense face à ce problème qui n’est pas nouveau ?
Le rapport des chercheurs plonge en fait dans un problème qui a déjà quelques années. En 2013, différents articles montraient ainsi qu’Android 4.3 dédoublait l’option pour le Wi-Fi, séparant la désactivation de la recherche constante des points d’accès. Si « éteindre » le Wi-Fi peut être automatisé à travers des applications comme Wi-Fi Matic, cela n'annule pour autant pas la recherche de réseau de manière systématique.
Dès lors, que faire pour se prémunir de ce profilage éventuel ? Certains appareils récents proposent également d'utiliser des adresses MAC aléatoires quand ils cherchent des points d’accès et/ou se connectent à des hotspots publics. Bien que cette technologie puisse compliquer la tâche des balises, elle n’est pas bloquante, et ce pour plusieurs raisons. D’abord, le nombre d’appareils la possédant est limité. Ensuite, elle n’est pas absolue et obéit à des conditions précises qui ne sont pas toujours évidentes à mettre en place (notamment avec iOS). Enfin, les bornes peuvent reconnaître ces adresses et les exclure de leurs statistiques.
Mathieu Cunche nous précise que l’adresse MAC n’est par ailleurs pas la seule information identifiante d’un smartphone. De la même manière qu’un navigateur est capable d’assembler plusieurs données pour créer une empreinte unique (voir notre analyse en février dernier), une borne peut se servir d’autres signaux présents dans les requêtes émises. Le nombre de ces informations dépend par contre fortement de l’appareil.
Le suivi des clients « in-store » : une pratique aux multiples facettes
L’installation d’une solution de « retail analytics » n’est ainsi ni nouvelle ni complexe, puisque les logiciels prennent appui la plupart du temps sur des installations existantes (Cisco par exemple avec ses Retail Solutions), surtout quand un nombre croissant d’enseignes proposent des réseaux Wi-Fi gratuits. Dans ce dernier cas, la question de l’adresse MAC ne se pose plus vraiment puisqu’elle est requise pour la connexion et qu'un profil peut être établi à travers le navigateur.
Mais il faut aussi apprendre à voir au-delà du smartphone, puisque bien d'autres pratiques sont mises en œuvre, certaines permettant d'assurer l'anonymat des données. Elles passent par l'analyse des mouvements du chariot, le Li-Fi ou même les ultrasons. La vidéo peut aussi être mise à profit via des systèmes comme ceux proposés par DiGEiZ.
Mais l'on pense aussi à des dispositifs comme les « scanettes », mises en avant pour la simplicité et le gain de temps qu'elles procurent, et dont l'utilisation est le plus souvent liée à une carte de fidélité. De quoi permettre de relier simplement un profil personnel (et en ligne ?) à des habitudes de consommation et des déplacements au sein du magasin. De quoi reproduire « IRL » ce qui se passe déjà à travers le tracking des internautes.
Ce type de pratique tend dans tous les cas à se développer. Outre les mesures que les utilisateurs peuvent prendre pour tenter de s'en prémunir, ils peuvent espérer (et exiger) être correctement informés par les magasins qui y ont recours. Encore faut-il que cette information soit effectivement donnée, et que le panneau soit clairement mis en avant. C'est ici que le travail d'enquête de la CNIL, et les éventuelles sanctions qui en découlent, ont toute leur importance.