BFM Business

Android: des applis transmettent vos données à Facebook, même si vous n'êtes pas inscrit

-

- - Sous licence Creative Commons CC0

L'ONG Privacy International a analysé une trentaine d'applications pour Android. Son rapport a été présenté samedi au 35e congrès du Chaos Computer Club.

L’année 2018 s’achève comme elle a commencé pour Facebook. Selon un rapport de l’ONG britannique Privacy International le réseau social pourrait aspirer des données personnelles sur les smartphones Android. Selon ce rapport, présenté samedi soir au 35e congrès du Chaos Computer Club (le groupe de hackers le plus important d’Europe), des applications Android partagent des informations sur les utilisateurs avec Facebook, sans recueillir leur consentement et même s’ils ne sont pas inscrits sur le réseau social.

Pour arriver à ce constat, deux chercheurs, Frederike Kaltheuner et Christopher Weatherhead, ont analysé une trentaine d’applications pour smartphone Android. Ils ont volontairement choisi des services populaires et très divers comme la plateforme de streaming musical Spotify ou le jeu Candy Crush. Résultat, ils ont découvert que plus de la moitié d’entre elles, 21 précisément, partagent des données avec le réseau social dès leur ouverture et ce, sans recueillir le consentement des utilisateurs. Surtout, qu’importe que l’utilisateur soit ou non inscrit sur Facebook, des informations sont tout de même transmises.

L'utilisation de ces informations n'est pas claire

Les informations partagées par l’application sont par exemple le modèle du téléphone, la langue choisie, le téléchargement de l’application mais aussi l’identifiant publicitaire attribué par Google à chaque utilisateur d’un smartphone Android. Combinées, elles permettent d’établir un profil d’utilisateur. Dans son rapport, l’ONG donne un exemple de l’utilisation possible de ces informations. Pour une personne qui a installé les applications "Qibla Connect" (une application relative aux prières musulmanes), "Period Tracker Clue" (suivi de règles), "Indeed" (recherche d’emploi), "My Talking Tom" (une application pour les enfants), il est possible de déduire qu’il s’agit probablement d’une femme, musulmane, à la recherche d’un emploi et mère d’un ou de plusieurs enfants.

Mais certaines informations sont beaucoup plus précises. L’ONG cite le cas de l’application KAYAK, un comparateur de voyage. Après analyse, les chercheurs ont découvert que le service transmettait à Facebook les recherches des utilisateurs: ville de départ, aéroport de départ, date de départ, ville d'arrivée, aéroport d'arrivée, date d'arrivée, nombre de billets (dont nombre d'enfants), classe des billets (économie, affaires ou première classe)… Mais il est impossible de savoir précisément à quoi servent les données collectées.

Facebook décline toute responsabilité

Ce ramassage de données est rendu possible grâce aux API, des interfaces de programmation qui permettent à un logiciel d’offrir ses services à d’autres. Ainsi, quand un site internet propose à l’utilisateur de se connecter via Facebook, il utilise une partie du code du réseau social. L’ONG a contacté Facebook avant sa parution du rapport, détaillent nos confrères de Libération. Le réseau social affirme que c’est aux sociétés qui développent les applications de s’assurer du consentement de leurs utilisateurs.

Le règlement sur la protection des données (RGPD), en vigueur depuis mai, impose en principe d’informer les utilisateurs de l’usage de leurs données. Ils doivent aussi donner leur accord pour le traitement des données, ou pouvoir s’y opposer. Dans le cas de la collecte de données au lancement de l’application, ces règles ne sont pas respectées. Facebook permet aux développeurs de ne pas envoyer de données avant d’avoir recueilli le consentement de leurs utilisateurs. Mais selon l’ONG Privacy International, cet outil lancé après l'entrée en vigueur du RGPD est imparfait. Par ailleurs, Facebook permet aux utilisateurs qui ne sont pas inscrits sur la plateforme de gérer la collecte des données par le réseau social. Mais l’ONG, qui a testé ces solutions, assure qu’elles n’ont aucun impact perceptible sur le partage des données observées dans le rapport.

https://twitter.com/Pauline_Dum Pauline Dumonteil Journaliste BFM Tech