Il y a pile un an, Exodus Privacy publiait son outil d'analyse d'applications Android, en quête de mouchards jusqu'ici invisibles. L'association diffuse aujourd'hui des statistiques et un large lot de données sur les conséquences du RGPD sur ces trackers, six mois après son entrée en application.
Le 24 novembre 2017, Exodus Privacy révélait son projet au grand jour, après trois mois de travail dans l'ombre. Nous l'avions suivi à l'époque. L'association cherche des références à des outils de pistage connus dans le code des applications Android, récupéré depuis le Google Play Store.
L'ensemble est présenté dans un site complet, par application, trackers ou sous forme de statistiques. L'annonce d'Exodus avait été menée en partenariat avec Le Monde et le Yale Privacy Lab, montrant l'ampleur de l'infestation de ces applications par des mouchards souvent invisibles.
Le projet est né du scandale Teemo, du nom d'un mouchard intégré à de nombreuses applications françaises, suivant à la trace leurs utilisateurs. Une affaire qui s'est conclue début octobre par une mise en conformité de l'entreprise avec le droit sur la protection des données, sous la contrainte de la CNIL.
Pour fêter son anniversaire, l'association analyse l'évolution de ces trackers après l'arrivée du Règlement général sur la protection des données (RGPD), qui doit améliorer la protection de la vie privée en Europe depuis le 25 mai.
Sur le top 85 mondial, pas de changement pour la moitié
Exodus Privacy a étudié les 85 applications les plus téléchargées sur le Google Play Store dans le monde, pour voir si des trackers ont été ajoutés ou retirés suite au règlement. Le bilan est mitigé : près de la moitié (40 applications) n'auraient simplement pas revu leur nombre de trackers, 19 en auraient ajouté et 26 en auraient supprimé.
Quatre applications se sont débarrassées de tous leurs trackers. La variation maximale est la même à la hausse et à la baisse : six mouchards. Xender en aurait supprimé ce nombre, quand BeautyPlus les a ajoutés. Le record de 22 pisteurs détectés est désormais partagé par les applications 4shared et My Talking Tom (plus de 500 millions de téléchargements).
Pour obtenir ses statistiques, Exodus Privacy prend la dernière analyse lancée avant le RPGD et la dernière en date, après le règlement. Cette méthode est censée tenir compte des nettoyages pré-RGPD de certains éditeurs. Un bémol : le service cherche des références aux mouchards dans les applications, sans garantie qu'ils sont effectivement utilisés par celles-ci. La présence d'une telle référence ne signifie donc pas strictement une activité dans l'application concernée.
Source : Exodus Privacy
Jusqu'ici, les rapports étaient consultables via le site dédié. Pour son anniversaire, Exodus Privacy fournit deux fichiers tirés de la base de données. D'une part, un export contenant toute la base avec les noms des trackers intégrés. D'autre part, un export centré sur les applications disposant d'un rapport pré et post-RGPD.
Sur plus de 37 000 applications, seules 1 401 correspondent à ce critère, selon nos constatations. Explication : les rapports sont déclenchés manuellement par les internautes ou un membre de l'association. Lancer une analyse globale après le règlement, sur toute la base, aurait été trop exigeant pour les serveurs.
Esther, cofondatrice de l'association, a conçu un script (dans le langage de traitement statistique R) pour consulter la base de données (via l'API du service) et reproduire les graphiques publiés aujourd'hui. Il est exploitable par tout habitué des lignes de commandes. Il prend en entrée une liste d'applications : un fichier texte avec les identifiants Play Store.
Des applications se sont vidées, d'autres ont ajouté des trackers
Avec l'aide d'Esther et du logiciel RStudio, nous avons étendu l'analyse à l'ensemble des applications disposant d'un rapport avant et après le 25 mai. En ajoutant la ligne write.csv(d, file = "MyData.csv") au script, il exporte un fichier CSV avec l'ensemble des données traitées, soit le nombre de mouchards avant et après l'entrée en application du règlement, ainsi que la variation.
La plus indiscrète des 1 401 applications est Marmiton, avec 29 trackers avant le RGPD et 30 après. Il est suivi par TéléStar et Perfect365, qui comptent 28 et 27 traces aux dernières nouvelles. Pour plus de la moitié de ce large échantillon (808 logiciels), aucun changement n'a été constaté.
236 applications ont retiré des mouchards, soit 16 %. Six d'entre elles se sont vidées de plus de dix trackers, dont Folio for Facebook et Messenger, Friendly for Facebook et SFR Presse. 26 applications (1,8 % de l'échantillon) ont même supprimé toute référence à ces pisteurs, dont Alipay, Facebook, NetGuard, Qwant, SFR Répondeur+ et Waze. Un geste à saluer.
À l'inverse, 357 applications (25 % du total) ont vu de nouvelles références apparaitre. Voici la liste des pires contrevenants, selon ces identifications :
- AlloCiné (+25 détectés, 27 au total)
- VPN Proxy by Avast (+11, 14 au total)
- Coop Supercard (+10, 13 au total)
- Gulli - L'appli des enfants (+10, 13 au total)
- Reverso (+9, 15 au total)
Avant le RGPD, 274 applications ne contenaient aucun mouchard. Selon Exodus, plus de 10 % en ont ajouté depuis le RGPD. Acrobat Reader et My Photo Keyboard sont les pires élèves, avec les traces de cinq pisteurs dénichés dans la dernière analyse en date.
Ces rapides calculs ne grattent que la surface. En nommant les trackers repérés à chaque analyse, Exodus Privacy permet de voir les montées et baisses de popularité au sein des applications, voire de constater si des liens entre entreprises se sont créés ou rompus depuis le 25 mai.
De même, ces résultats aident à analyser la quantité de permissions demandées, au prix d'un travail supplémentaire.
Un pas vers un plus large public
Il y a un an, la base comptait 375 rapports sur autant d'applications, détectant 44 trackers. Désormais, plus de 42 000 rapports ont été générés sur 37 000 applications, pour 152 pisteurs découverts. Un travail de longue haleine, donc.
Le service a aussi bien évolué, avec l'ouverture aux internautes de la soumission d'applications et du déclenchement d'analyses, et le lancement en avril dernier d'une application mobile pour signaler celles indiscrètes sur l'appareil. Une extension Exodify affiche le nombre de trackers et de permissions demandées sur les fiches web du Google Play Store :
Surtout, l'initiative a montré son intérêt concret. Encore très récemment. Depuis octobre, la Commission nationale informatique et libertés (CNIL) a épinglé publiquement deux entreprises (Singlespot et Vectaury) pour leur géolocalisation invisible des mobinautes, mais a refusé de fournir les noms d'applications intégrant leurs mouchards.
Dans les deux cas, Exodus Privacy présentait une liste de logiciels y faisant référence, comme Allociné, Marmiton, Météo France et Vie De Merde.
Dans un billet de blog, l'équipe tire le bilan de cette première année très chargée en développements et conférences sur ses travaux. Pour l'année à venir, elle compte rendre son message et ses résultats plus accessibles, en traduisant leurs conférences et le site, et en revoyant la présentation des rapports d'analyse.
Lors de la dernière assemblée générale, début octobre, MeTaL_PoU a été élue présidente de l'association qui revendique huit membres actifs. Elle remplace donc Esther (U+039b) qui reste au bureau. Après avoir beaucoup œuvré au projet à ses débuts, elle pense se concentrer sur le projet d'analyse du trafic Internet PiRanhaLysis, pour faciliter l'étude des échanges des smartphones et objets connectés (voir notre entretien sur sa première brique, PiRogue).
Pour Esther, MeTaL_PoU portera cette extension vers le grand public souhaitée par la jeune organisation.
