Les smartphones collectent les données personnelles sans demander. Qu'est-ce que on peut y faire ?
Lorsque vous allumez votre nouveau smartphone pour la première fois, il est déjà plein d'applications préinstallées. Certaines de ces applications qui encombrent l'écran et consomment votre espace de stockage peuvent au moins être utiles. Cependant, la plupart d'entre elles ne sont pas nécessaires, mais il faut jouer le jeu que l'on vous a donné.
Sur certains smartphones, ces applications peuvent être désinstallées, même s'il faut parfois se plier en quatre pour y parvenir. Sur d'autres, elles ne peuvent être 'désactivées' que pour ne pas fonctionner en arrière-plan. En outre, la désinstallation des applications système telles que l'horloge intégrée, le téléphone ou les applications de numérotation peut s'avérer risquée, car elle peut transformer votre nouveau téléphone en brique.
On peut dire qu'il n'est pas très amusant de voir un fabricant décider quelles applications on doit avoir, mais ce n'est pas non plus une catastrophe, et c'est même pratique dans une certaine mesure. Après tout, comment une application de messagerie peut-elle être mauvaise ? Mais le problème, c'est que les applications intégrées ne se contentent pas de s'installer sur votre téléphone sans y être invitées, elles collectent et transmettent également des informations personnelles sensibles au fournisseur ou à la personne qu'il juge appropriée. Et comme il s'agit d'applications système, elles sont plus susceptibles de le faire sans votre permission que les applications que vous téléchargez vous-même.
Des téléphomes qui "coulent"
Des chercheurs de l'université d'Édimbourg et du Trinity College de Dublin ont découvert que les applications préinstallées sur les trois téléphones Android les plus populaires en Chine divulguent les données sensibles relatives à la vie privée des utilisateurs, telles que les coordonnées GPS, le numéro de téléphone, l'utilisation des applications, l'historique des appels, et ce, sans consentement ou, dans certains cas, sans même un avertissement de l'utilisateur.
Dans un article intitulé "Android OS Privacy Under the Loupe - A Tale from the East", les chercheurs ont étudié trois smartphones chinois populaires : Xiaomi Redmi Note 11, OPPO Realme Q3 Pro, et un OnePlus 9R. Dans leurs interactions avec les téléphones, les chercheurs ont agi comme s'ils étaient "un utilisateur concerné conscient de sa vie privée", qui avait refusé l'analyse et la personnalisation, n'utilisait pas de stockage dans le cloud ou d'autres services tiers facultatifs, et n'avait pas créé de compte sur une plateforme gérée par le développeur du système d'exploitation.
Tous les utilisateurs ne se donneront pas autant de mal pour protéger leur vie privée, mais il s'avère que même ces précautions peuvent échouer. Les chercheurs ont déclaré que les smartphones envoyaient encore "une quantité inquiétante d'informations personnelles identifiables (PII) " non seulement au fabricant de l'appareil, mais aussi aux fournisseurs de téléphonie mobile, dont China Mobile et China Unicom. La particularité est que les données étaient envoyées à ces opérateurs de réseau mobile même si le téléphone ne contenait pas de carte SIM, ou s'il contenait une carte SIM d'un autre opérateur de réseau mobile, par exemple un opérateur basé au Royaume-Uni. En outre, dans certains cas, les données étaient également acheminées vers le géant chinois de la recherche Baidu.
Il s'est avéré que les mêmes smartphones, mais conçus pour être expédiés en dehors de la Chine, collectaient par défaut beaucoup moins de données personnelles.
Le tableau montre les types de données personnelles (PII) téléchargées par les smartphones testés avec des microprogrammes chinois et internationaux. Source : "Android OS Privacy Under Loupe - A Tale from the East", Liu et al.
Un choix sans trop de choix
Les chercheurs n'ont examiné que les données transmises par les applications préinstallées, et non celles que vous installez vous-même. Les applications préinstallées comprennent le code source d'Android, le code du fournisseur et le code de tiers. En moyenne, les smartphones testés comportaient "plus de 30 paquets tiers " préinstallés. Une application peut utiliser plusieurs paquets pour fonctionner.
Les applications préinstallées comprenaient des applications de navigation, d'actualités, de streaming, d'achat et de saisie. Certaines de ces applications bénéficiaient par défaut d'autorisations dangereuses, transmettant des informations sensibles sans que l'utilisateur puisse s'y opposer. Dans certains cas, lorsque les utilisateurs étaient informés que l'utilisation de l'application nécessitait l'accès à certaines données, telles que la localisation, ils se voyaient proposer un choix plutôt douteux : ne pas utiliser la fonction du tout ou accepter la collecte et le partage des données - une approche que les chercheurs ont qualifiée de "à prendre ou à laisser".
Le diagramme montre les types d'informations personnelles identifiables (PII) collectées par les smartphones dotés d'un micrologiciel chinois et les lieux où elles sont envoyées
Lorsque les utilisateurs acceptent de donner un accès carte blanche à leurs données personnelles à une application système, il se peut qu'ils révèlent par inadvertance plus d'informations sur eux-mêmes qu'ils ne l'auraient souhaité. Par exemple, les chercheurs ont constaté que les applications de téléphonie et de messagerie fournies avec OnePlus et Realmi envoyaient non seulement le numéro de téléphone de l'utilisateur aux serveurs du fabricant, mais aussi la durée de l'appel, l'heure de l'appel, l'heure du dernier contact et le numéro de la personne avec laquelle l'utilisateur parlait ou envoyait un SMS. L'application de navigation AMap d'Alibaba sur Realme et Oneplus s'est avérée "transmettre régulièrement des coordonnées GPS lorsque les appareils étaient inactifs ".
Cette masse d'informations précieuse est directement liée à l'identité de l'utilisateur et peut révéler beaucoup de choses sur votre vie personnelle. Les chercheurs notent que, par exemple, un large accès aux données d'appel peut permettre aux fournisseurs de "déduire les relations sociales entre des utilisateurs qui ne sont pas directement connectés " En d'autres termes, le fournisseur peut déduire que votre partenaire est susceptible de vous tromper, alors que vous n'en avez peut-être même pas la moindre idée.
De grandes traces
Sans surprise, les smartphones dotés d'un micrologiciel chinois ne cessent pas d'espionner leurs propriétaires une fois qu'ils ont quitté le pays, bien que cela puisse constituer une violation des lois locales sur la protection de la vie privée, en particulier de la législation de l'UE sur la protection des données. Les chercheurs avertissent que cela signifie que "les vendeurs de téléphones et certains tiers sont toujours en mesure de suivre les voyageurs d'affaires et les étudiants à l'étranger, y compris les contacts étrangers qu'ils établissent lors de leurs visites " La même chose s'applique, bien sûr, aux citoyens non chinois qui achètent par hasard un smartphone fabriqué pour la distribution locale.
Non, ce n'est pas que la Chine
Toutefois, cela ne signifie pas que si vous n'avez pas acheté un téléphone en Chine ou avec un micrologiciel chinois, il ne faut plus s'inquiéter. Si l'ampleur de la collecte de données par les téléphones Android populaires en Chine est alarmante, cette pratique n'est pas endémique au pays. Elle n'est pas non plus spécifique au seul système d'exploitation Android ou aux marques choisies. Des recherches antérieures ont montré que les téléphones équipés des systèmes d'exploitation iOS et Android collectent et transmettent des données aux fournisseurs, même lorsque l'utilisateur a refusé la collecte de données ou ne s'est pas connecté.
En 2021, le co-auteur de cette recherche, Douglas J. Leith, a également étudié la quantité de données partagées par le téléphone Pixel de Google et l'iPhone d'Apple avec Google et Apple, respectivement. Il a constaté que les deux téléphones se connectent aux serveurs des entreprises toutes les 4,5 minutes en moyenne, même lorsqu'ils sont "configurés de manière minimale " Au cours des 10 premières minutes de démarrage, le téléphone Google a envoyé à son vaisseau-mère 1 Mo de données, tandis que l'iPhone a envoyé 42 Ko de données à Cupertino. Meme si iOS et Android ont tous deux partagé des données personnelles d'utilisateurs avec des fabricants, Android l'a fait à une échelle beaucoup plus grande. Selon l'étude, Google a collecté environ 20 fois plus de données qu'Apple.
Les applications préinstallées sur l'iPhone et le Google Pixel se sont également connectées aux serveurs des entreprises, même si elles n'ont jamais été ouvertes ou utilisées. Sur l'iPhone, il s'agissait de l'assistant vocal Siri, du navigateur Safari et d'iCloud, tandis que sur Google, il s'agissait de l'application YouTube, de Chrome, de Google Docs, de Safetyhub, de la messagerie Google, de l'horloge et de la barre de recherche Google.
Le grand mythe de la confidentialité dans iOS
Apple s'est toujours présenté comme un champion de la protection de la vie privée, et si les recherches mentionnées ci-dessus peuvent renforcer cette impression, la question est beaucoup plus nuancée. Si vous possédez un téléphone fonctionnant sous Android, vous pouvez (du moins en théorie) désactiver les services et applications Google, tels que le magasin Google Play et YouTube, et empêcher le partage de vos données. En effet, sur Android, il est possible de charger des applications de manière latérale, c'est-à-dire d'installer des applications à partir d'autres sources que le Google Play Store.
Avec Apple, il n'existe aucun moyen réaliste d'utiliser un iPhone sans utiliser également l'App Store d'Apple et d'autres applications natives d'Apple. Des rumeurs circulent selon lesquelles Apple pourrait autoriser le chargement latéral dans la prochaine version de son système d'exploitation dans l'UE, mais il ne s'agit que de rumeurs pour l'instant. Cela signifie que les utilisateurs d'iPhone n'ont actuellement aucun moyen de refuser ce type de partage de données.
Et, comme l'ont constaté l'an dernier les chercheurs de l'entreprise de logiciels Mysk, Apple ne laisse pas passer l'occasion de tirer parti du statu quo. Mysk a constaté que même lorsque les utilisateurs désactivaient toutes les options de personnalisation, y compris iPhone Analytics, Apple continuait à collecter des données d'utilisation détaillées et en temps réel à partir des applications natives de l'iPhone. Les informations envoyées par les applications à Apple comprenaient un numéro d'identification permanent lié au nom, à l'adresse électronique et au numéro de téléphone de l'utilisateur. Cette pratique semble en contradiction avec la politique de confidentialité d'Apple, qui affirme qu'aucune des informations collectées ne permet d'identifier personnellement l'utilisateur.
Que faire pour minimiser la collecte de données
Ce qui rend le type de suivi par le système d'exploitation si délicat, c'est que vous ne vous en rendez peut-être même pas compte. De plus, les fabricants vous forcent souvent à l'accepter sans vous proposer d'alternative viable. C'est pratiquement impossible de l'éviter complètement, mais il y a des moyens de minimiser votre empreinte en ligne.
Les bloqueurs de publicités à l'échelle du système, dotés de filtres incluant une longue liste de domaines, peuvent bloquer les publicités et le suivi dans les navigateurs et les applications tierces. Malheureusement, même les bloqueurs de publicité à l'échelle du système ne peuvent pas empêcher tout suivi, en particulier lorsque les fabricants d'appareils eux-mêmes (comme Apple et Google) collectent des informations à partir de leurs applications natives. Toutefois, l'utilisation d'un bloqueur de publicités vous protégera de la plupart des traqueurs tiers, ce qui rendra votre expérience de navigation plus sûre et plus propre dans l'ensemble.
Il existe un certain nombre de bloqueurs de publicité à l'échelle du système pour de différents systèmes d'exploitation. L'un d'entre eux est AdGuard, disponible pour Android et iOS.