Certaines applications peuvent suivre notre activité dans le temps et ce même lorsqu’on leur demande de ne plus le faire. Et l’on ne peut rien contre cela. Selon une étude menée par l’International Computer Science Institute à laquelle ont eu accès nos confrères de Cnet.com, environ 17.000 applications Android collectent des informations d'identification qui créent un enregistrement permanent de l'activité sur un smartphone.

Dans la plupart des cas, cette pratique semble enfreindre la politique de Google en matière de collecte de données pour le ciblage publicitaire. En effet, il s’avère que ces applications peuvent pister un utilisateur en reliant son identifiant publicitaire, un numéro unique mais réinitialisable employé pour personnaliser la publicité, avec d'autres identifiants du téléphone qui sont difficiles ou impossibles à modifier comme l'adresse MAC, le numéro IMEI et l'ID Android. Moins d'un tiers des applications qui collectent les identifiants se limitent à l'identifiant publicitaire, comme le recommande Google dans ses bonnes pratiques recommandées aux développeurs.

Angry Birds, Flipboard, Audible épinglés

« La vie privée disparaît » lorsque les applications recueillent ces identificateurs persistants, estime Serge Egelman, qui a dirigé cette étude. Il explique que son équipe, qui a rapporté les résultats à Google en septembre, a observé que la plupart des applications envoyaient des informations d'identification aux services publicitaires, ce qui est une violation flagrante des politiques de Google. Ces dernières permettent aux développeurs de recueillir les identificateurs publicitaires, mais leur interdisent de les combiner avec les identificateurs matériels sans le consentement explicite de l'utilisateur ou d'utiliser des identificateurs persistants qui ne peuvent être réinitialisés, pour cibler les annonces.

L'équipe de Serge Egelman, qui avait déjà trouvé environ 6.000 applications pour enfants qui ne recueillaient pas correctement les données, a expliqué que des applications très populaires envoient des identifiants permanents aux services publicitaires. Y figurent Angry Birds Classic, AudioBooks d’Audible et Flipboard. Clean Master, Battery Doctor et Cheetah Keyboard, des utilitaires développés par Cheetah Mobile, sont également cités.

Toutes ces applications ont été installées sur au moins 100 millions de terminaux. Clean Master, un utilitaire qui inclut des services d'antivirus et d'optimisation, a été installé sur 1 milliard d'appareils.

La réaction de Google

Google a déclaré qu'il avait enquêté suite à cette étude et pris des mesures contre certaines applications. Mais l’entreprise n’a pas voulu préciser le nombre d'applications sur lesquelles elle est intervenue, les mesures qui ont été prises, ni lesquelles de ses règles ont été bafouées. Google s’est limité à préciser que ses règles permettent la collecte d'identifiants matériels et de l'ID Android à certaines fins, comme la détection de la fraude, mais pas pour le ciblage des annonces.

Précision importante faite par Google : ces règles ne peuvent s’appliquer que lorsque les applications Android envoient les identifiants à ses propres réseaux publicitaires, notamment AdMob. Si les applications communiquent les données à des réseaux tiers, Google se dit dans l’impossibilité de les surveiller.

« Nous prenons ces questions très au sérieux », a déclaré un porte-parole de Google. « Il est strictement interdit de combiner l'identifiant publicitaire avec l'identifiant de l'appareil dans le but de personnaliser les annonces. Nous examinons constamment les applications, y compris celles qui sont énumérées dans le rapport du chercheur, et nous prendrons des mesures lorsqu'elles ne sont pas conformes à nos politiques. »

Google mène régulièrement un certain nombre d’actions qui visent à protéger la vie privée et la sécurité des utilisateurs. Dans un billet de blog publié mercredi, la société a annoncé avoir augmenté de 55% en 2018 le nombre d'applications abusives bloquées sur Google Play.

La réaction des éditeurs concernés

Les représentants de Rovio (Angry Birds) et d'Audible n'ont pas répondu aux demandes de commentaires de nos confrères. En revanche, un porte-parole de Cheetah Mobile a déclaré que l’éditeur transmet l'ID Android d'un smartphone à un prestataire qui l'aide à suivre les installations de ses produits. L'information n'est pas utilisée pour des publicités ciblées, et l'entreprise se conforme à toutes les politiques et lois de Google, a assuré son porte-parole. Il a ajouté que la version de Battery Doctor testée par les chercheurs était dépassée. Cheetah Mobile dit avoir mis à jour l'application en 2018 pour ne plus collecter l'IMEI. Flipboard pour sa part a indiqué qu'il n'utilise pas l'ID Android pour le ciblage publicitaire.

La collecte de données identifiée par Serge Egelman et son équipe est similaire à un problème qui a mis Uber en difficulté avec Apple en 2015. Selon un article du New York Times d’avril 2017, Tim Cook, le PDG d'Apple, fut furieux d'apprendre qu'Uber collectait les identifiants matériels des utilisateurs iOS à l’encontre des règles d'Apple. Il avait alors menacé de supprimer l'application Uber de l'App Store.

L'équipe de Serge Egelman a testé les applications sur Android 6 Marshmallow. Selon les statistiques de Google datées d’octobre dernier, un peu plus de la moitié de tous les terminaux Android utilisent la version 6 ou antérieure du système d’exploitation mobile. Les chercheurs ont configuré une version d'Android qui leur permettait de suivre quels identificateurs une application collectait. Ils ont ensuite exécuté des milliers d'applications sur l’OS modifié.

Une infraction possible au RGPD

Selon le Serge Egelman, la réinitialisation de l’identifiant publicitaire devrait avoir la même fonction que l'effacement des données de navigation dans un navigateur web. Lorsque l’on efface les cookies, les sites web visités ne sont plus en mesure d’identifier l’internaute. Cela les empêche d'accumuler des données au fil du temps.

En revanche, il est impossible de réinitialiser les autres identificateurs, comme l'adresse MAC et IMEI. L'adresse MAC est un identifiant unique que l’appareil diffuse notamment aux routeurs Wi-Fi. L'IMEI est un numéro d’immatriculation spécifique à un smartphone. Ces deux identificateurs peuvent parfois être utilisés pour empêcher les téléphones volés d'accéder à un réseau cellulaire. L'ID Android est un autre identifiant propre à chaque terminal. Il peut être réinitialisé, mais uniquement en rétablissant les paramètres d’usine du smartphone. Si des applications communiquent l'un de ces identifiants à des réseaux publicitaires, ces derniers peuvent continuer à pister un utilisateur même si celui-ci réinitialise son identifiant publicitaire.

Selon Sandy Bilus, avocate spécialisée dans la protection de la vie privée et la cybersécurité interrogée par Cnet.com, les applications ayant recours à ces pratiques pourraient enfreindre le Règlement général sur la protection des données (RGPD) qui fait obligation aux entreprises d’informer les utilisateurs européens sur l’utilisation de leurs données. « Cela pourrait certainement soulever des questions liées au RGPD », estime l’avocate. « Les développeurs d'applications qui collectent et utilisent ces données devraient y faire attention. »