Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

L'effet du RGPD sur les trackers des applications Android, selon Exodus Privacy

Joyeux anniversaire !
Mobilité 6 min
L'effet du RGPD sur les trackers des applications Android, selon Exodus Privacy

Il y a pile un an, Exodus Privacy publiait son outil d'analyse d'applications Android, en quête de mouchards jusqu'ici invisibles. L'association diffuse aujourd'hui des statistiques et un large lot de données sur les conséquences du RGPD sur ces trackers, six mois après son entrée en application.

Le 24 novembre 2017, Exodus Privacy révélait son projet au grand jour, après trois mois de travail dans l'ombre. Nous l'avions suivi à l'époque. L'association cherche des références à des outils de pistage connus dans le code des applications Android, récupéré depuis le Google Play Store.

L'ensemble est présenté dans un site complet, par application, trackers ou sous forme de statistiques. L'annonce d'Exodus avait été menée en partenariat avec Le Monde et le Yale Privacy Lab, montrant l'ampleur de l'infestation de ces applications par des mouchards souvent invisibles.

Le projet est né du scandale Teemo, du nom d'un mouchard intégré à de nombreuses applications françaises, suivant à la trace leurs utilisateurs. Une affaire qui s'est conclue début octobre par une mise en conformité de l'entreprise avec le droit sur la protection des données, sous la contrainte de la CNIL.

Pour fêter son anniversaire, l'association analyse l'évolution de ces trackers après l'arrivée du Règlement général sur la protection des données (RGPD), qui doit améliorer la protection de la vie privée en Europe depuis le 25 mai.

 Sur le top 85 mondial, pas de changement pour la moitié

Exodus Privacy a étudié les 85 applications les plus téléchargées sur le Google Play Store dans le monde, pour voir si des trackers ont été ajoutés ou retirés suite au règlement. Le bilan est mitigé : près de la moitié (40 applications) n'auraient simplement pas revu leur nombre de trackers, 19 en auraient ajouté et 26 en auraient supprimé.

Quatre applications se sont débarrassées de tous leurs trackers. La variation maximale est la même à la hausse et à la baisse : six mouchards. Xender en aurait supprimé ce nombre, quand BeautyPlus les a ajoutés. Le record de 22 pisteurs détectés est désormais partagé par les applications 4shared et My Talking Tom (plus de 500 millions de téléchargements).

Pour obtenir ses statistiques, Exodus Privacy prend la dernière analyse lancée avant le RPGD et la dernière en date, après le règlement. Cette méthode est censée tenir compte des nettoyages pré-RGPD de certains éditeurs. Un bémol : le service cherche des références aux mouchards dans les applications, sans garantie qu'ils sont effectivement utilisés par celles-ci. La présence d'une telle référence ne signifie donc pas strictement une activité dans l'application concernée.

Exodus Privacy RGPDExodus Privacy RGPD
Source : Exodus Privacy

Jusqu'ici, les rapports étaient consultables via le site dédié. Pour son anniversaire, Exodus Privacy fournit deux fichiers tirés de la base de données. D'une part, un export contenant toute la base avec les noms des trackers intégrés. D'autre part, un export centré sur les applications disposant d'un rapport pré et post-RGPD.

Sur plus de 37 000 applications, seules 1 401 correspondent à ce critère, selon nos constatations. Explication : les rapports sont déclenchés manuellement par les internautes ou un membre de l'association. Lancer une analyse globale après le règlement, sur toute la base, aurait été trop exigeant pour les serveurs.

Esther, cofondatrice de l'association, a conçu un script (dans le langage de traitement statistique R) pour consulter la base de données (via l'API du service) et reproduire les graphiques publiés aujourd'hui. Il est exploitable par tout habitué des lignes de commandes. Il prend en entrée une liste d'applications : un fichier texte avec les identifiants Play Store.

Des applications se sont vidées, d'autres ont ajouté des trackers

Avec l'aide d'Esther et du logiciel RStudio, nous avons étendu l'analyse à l'ensemble des applications disposant d'un rapport avant et après le 25 mai. En ajoutant la ligne write.csv(d, file = "MyData.csv") au script, il exporte un fichier CSV avec l'ensemble des données traitées, soit le nombre de mouchards avant et après l'entrée en application du règlement, ainsi que la variation.

La plus indiscrète des 1 401 applications est Marmiton, avec 29 trackers avant le RGPD et 30 après. Il est suivi par TéléStar et Perfect365, qui comptent 28 et 27 traces aux dernières nouvelles. Pour plus de la moitié de ce large échantillon (808 logiciels), aucun changement n'a été constaté.

236 applications ont retiré des mouchards, soit 16 %. Six d'entre elles se sont vidées de plus de dix trackers, dont Folio for Facebook et Messenger, Friendly for Facebook et SFR Presse. 26 applications (1,8 % de l'échantillon) ont même supprimé toute référence à ces pisteurs, dont Alipay, Facebook, NetGuard, Qwant, SFR Répondeur+ et Waze. Un geste à saluer.

À l'inverse, 357 applications (25 % du total) ont vu de nouvelles références apparaitre. Voici la liste des pires contrevenants, selon ces identifications :

  • AlloCiné (+25 détectés, 27 au total)
  • VPN Proxy by Avast (+11, 14 au total)
  • Coop Supercard (+10, 13 au total)
  • Gulli - L'appli des enfants (+10, 13 au total)
  • Reverso (+9, 15 au total)

Avant le RGPD, 274 applications ne contenaient aucun mouchard. Selon Exodus, plus de 10 % en ont ajouté depuis le RGPD. Acrobat Reader et My Photo Keyboard sont les pires élèves, avec les traces de cinq pisteurs dénichés dans la dernière analyse en date.

Ces rapides calculs ne grattent que la surface. En nommant les trackers repérés à chaque analyse, Exodus Privacy permet de voir les montées et baisses de popularité au sein des applications, voire de constater si des liens entre entreprises se sont créés ou rompus depuis le 25 mai.

De même, ces résultats aident à analyser la quantité de permissions demandées, au prix d'un travail supplémentaire.

Un pas vers un plus large public

Il y a un an, la base comptait 375 rapports sur autant d'applications, détectant 44 trackers. Désormais, plus de 42 000 rapports ont été générés sur 37 000 applications, pour 152 pisteurs découverts. Un travail de longue haleine, donc.

Le service a aussi bien évolué, avec l'ouverture aux internautes de la soumission d'applications et du déclenchement d'analyses, et le lancement en avril dernier d'une application mobile pour signaler celles indiscrètes sur l'appareil. Une extension Exodify affiche le nombre de trackers et de permissions demandées sur les fiches web du Google Play Store :

Surtout, l'initiative a montré son intérêt concret. Encore très récemment. Depuis octobre, la Commission nationale informatique et libertés (CNIL) a épinglé publiquement deux entreprises (Singlespot et Vectaury) pour leur géolocalisation invisible des mobinautes, mais a refusé de fournir les noms d'applications intégrant leurs mouchards.

Dans les deux cas, Exodus Privacy présentait une liste de logiciels y faisant référence, comme Allociné, Marmiton, Météo France et Vie De Merde.

Dans un billet de blog, l'équipe tire le bilan de cette première année très chargée en développements et conférences sur ses travaux. Pour l'année à venir, elle compte rendre son message et ses résultats plus accessibles, en traduisant leurs conférences et le site, et en revoyant la présentation des rapports d'analyse.

Lors de la dernière assemblée générale, début octobre, MeTaL_PoU a été élue présidente de l'association qui revendique huit membres actifs. Elle remplace donc Esther (U+039b) qui reste au bureau. Après avoir beaucoup œuvré au projet à ses débuts, elle pense se concentrer sur le projet d'analyse du trafic Internet PiRanhaLysis, pour faciliter l'étude des échanges des smartphones et objets connectés (voir notre entretien sur sa première brique, PiRogue).

Pour Esther, MeTaL_PoU portera cette extension vers le grand public souhaitée par la jeune organisation.

25 commentaires
Avatar de dylem29 Abonné
Avatar de dylem29dylem29- 24/11/18 à 11:11:25

Signaler ce commentaire aux modérateurs :

Merci pour l'appli, je l'installe et je vire les trucs qui posent problèmes.

Édité par dylem29 le 24/11/2018 à 11:12
Avatar de Macarie Abonné
Avatar de MacarieMacarie- 24/11/18 à 11:30:38

Signaler ce commentaire aux modérateurs :

assez comique de voir l'inutilité des loi car les gens sensé la faire respecté ne font rien

Avatar de David_L Équipe
Avatar de David_LDavid_L- 24/11/18 à 12:04:42

Signaler ce commentaire aux modérateurs :

Il ne faut pas confondre ne rien faire et le fait que ces enquêtes / procédures prennent du temps. On peut considérer que ça en prend toujours trop, mais pas ne dire que la CNIL ne fait rien en la matière. 

Avatar de boogieplayer Abonné
Avatar de boogieplayerboogieplayer- 24/11/18 à 12:12:31

Signaler ce commentaire aux modérateurs :

Où l'on se rend compte surtout que de taper sur les GAFA/M ne veut rien dire, déjà l’acronyme est bidon et en plus ce ne sont pas le pires si on s'en réfère à l'article.

Lors des formations que je prodigue en entreprise sur la bonne hygiène numérique et la self-défense je parle de mindgeek, premier fournisseur de webporno dans le monde, qui revendique (vrai ou faux difficile à dire) avoir vu passer au moins une fois chaque internautes masculins du monde et qui n'ont absolument aucuns scrupules sur la gestion et la monétisation des données.

Reste que c'est une super initiative qu'il faut soutenir.

Avatar de crocodudule INpactien
Avatar de crocodudulecrocodudule- 24/11/18 à 12:43:24

Signaler ce commentaire aux modérateurs :

L'approche est intéressante.

Reste qu'il faudrait aussi se préoccuper rapidement d'un effet de bord du RGPD qui devient vraiment problématique et que je constate régulièrement depuis la rentrée: certains responsables des traitements font tout pour pousser la responsabilité sur leurs sous-traitants: ces derniers étant parfois totalement dépendant de leurs clients RP, ils se retrouvent à endosser des responsabilités sur le papier alors qu'en pratique ils ne déterminent rien et non aucune marge de manœuvre, choses qu'ils sont obligés d'accepter car économiquement totalement en situation de dépendance.

Avatar de Macarie Abonné
Avatar de MacarieMacarie- 24/11/18 à 12:57:24

Signaler ce commentaire aux modérateurs :

Je pensait surtout a Google qui est "sensé" filtré les appli sur leur stores, mais ça serait bien que la CNIL délègue la recherche a des volontaires qui leur prémâcherais leur boulot.

Avatar de dylem29 Abonné
Avatar de dylem29dylem29- 24/11/18 à 13:05:45

Signaler ce commentaire aux modérateurs :

Alors après enquête de l'appli, les logiciels ayant le + de traqueurs chez moi, ce sont les applis de rencontre. 
Même Pokemon Go a moins de traceurs (11 contre 30 en moyenne chez les applis types Grindr), du coup j'ai tout viré.  

Avatar de David_L Équipe
Avatar de David_LDavid_L- 24/11/18 à 13:29:10

Signaler ce commentaire aux modérateurs :

Chacun eut déposer une plainte auprès de la CNIL, mais ça ne change rien sur le fond. Pour Google, ce serait "fun" de les voir s'opposer à des solutions de collecte de données (ne pas oublier que la collecte n'est pas illégale tant qu'elle est faite dans certaines conditions, notamment la récolte du consentement). 

Avatar de BlueTemplar Abonné
Avatar de BlueTemplarBlueTemplar- 24/11/18 à 19:18:28

Signaler ce commentaire aux modérateurs :

Oui, mais la maison mère reste de toute façon légalement responsable de ce que font les sous-traitants qu'elle a embauchée, non?

Avatar de Valeryan_24 Abonné
Avatar de Valeryan_24Valeryan_24- 24/11/18 à 21:18:50

Signaler ce commentaire aux modérateurs :

Oui, ils sont assez proactifs, en attendant les 1ères vraies sanctions.

Cependant, malgré les promesses des éditeurs de sdk tiers audités et leur assurance que dorénavant leurs clients devaient explicitement obtenir l'accord des utilisateurs et leur consentement explicite préalable, pour tester pas mal d'applis populaires dans l'optique d'alimenter la base de données Exodus Privacy, je n'en ai rencontré encore aucune qui informe dès le 1er lancement des différents traceurs installés, demande l'autorisation détaillée de géolocalisation / ciblage publicitaire, et permet de refuser tout en utilisant l'appli.

Le Monde et L'Équipe (proposant des abonnements payants) ont fini par me répondre que c'était "en cours d'implémentation" - le RGPD est pourtant en vigueur depuis mai et ils ont eu 2 ans pour s'y préparer. La dernière version d'Europe 1 sur Android a supprimé certains trackers, ajoute bien un écran informant du pistage, mais ne propose pas de le désactiver, et pire : avant même qu'on ait cliqué sur "Démarrer", donc accepté les CGU, NetGuard détecte des connexions vers les éditeurs sdk externes, donc la fuite de données a déjà eu lieu avant même qu'on ait choisi !

https://twitter.com/valeryan24/status/1064851201974505472

Il n'est plus possible de commenter cette actualité.
Page 1 / 3