FUITE DES DONNÉES DE SMARTPHONES
Une étude révèle l’ampleur du partage de données à partir des téléphones mobiles Android.
Une analyse approfondie disponible (https://www.scss.tcd.ie/Doug.Leith/Android_privacy_report.pdf), d’une gamme de téléphones mobiles Android populaires a révélé une importante collecte et un partage de données, y compris avec des tiers, sans possibilité de retrait pour les utilisateurs.
Le professeur Doug Leith du Trinity College de Dublin, ainsi que les docteurs Paul Patras et Haoyu Liu de l’université d’Édimbourg, ont examiné les données envoyées par six variantes du système d’exploitation Android développées par Samsung, Xiaomi, Huawei, Realme, LineageOS et /e/OS.
Même lorsqu’elles sont configurées de manière minimale et que le combiné est inactif, à l’exception notable de e/OS, ces variantes d’Android personnalisées par les fournisseurs transmettent des quantités substantielles d’informations au développeur du système d’exploitation et à des tiers tels que Google, Microsoft, LinkedIn et Facebook qui ont des applications système préinstallées. Il n’y a pas d’option de retrait pour cette collecte de données.
Bien qu’il faille s’attendre à une communication occasionnelle avec les serveurs du système d’exploitation, les auteurs de l’étude affirment que la transmission de données observée va bien au-delà et soulève un certain nombre de problèmes de confidentialité.
Le professeur Doug Leith, titulaire de la chaire de systèmes informatiques à la School of Computer Science and Statistics du Trinity College de Dublin, a déclaré :
Je pense que nous sommes complètement passés à côté de la collecte massive et continue de données par nos téléphones, pour laquelle il n’y a pas d’option de retrait. Nous nous sommes trop concentrés sur les cookies du web et sur les applications qui se comportent mal.
J’espère que notre travail servira de signal d’alarme pour le public, les politiciens et les régulateurs. Il est urgent de prendre des mesures significatives pour donner aux gens un réel contrôle sur les données qui sortent de leur téléphone.
Le Dr Paul Patras, professeur associé à l’école d’informatique de l’université d’Édimbourg, a déclaré :
Bien que nous ayons vu des lois de protection des informations personnelles adoptées dans plusieurs pays ces dernières années, notamment par les États membres de l’UE, le Canada et la Corée du Sud, les pratiques de collecte de données sur les utilisateurs restent très répandues. Plus inquiétant encore, ces pratiques ont lieu “sous le capot” des smartphones à l’insu des utilisateurs et sans moyen accessible de désactiver cette fonctionnalité. Les variantes d’Android respectueuses de la vie privée gagnent cependant du terrain et nos conclusions devraient inciter les fournisseurs leaders du marché à suivre le mouvement.
À l’exception d’e/OS, tous les fabricants de téléphones examinés collectent une liste de toutes les applications installées sur un téléphone. Il s’agit d’informations potentiellement sensibles car elles peuvent révéler les intérêts de l’utilisateur, par exemple une application de santé mentale, une application de prière musulmane, une application de rencontre gay, une application d’actualité républicaine. Il n’y a pas d’option de retrait pour cette collecte de données.
Le téléphone Xiaomi envoie à Xiaomi les détails de tous les écrans d’application consultés par un utilisateur, y compris le moment et la durée d’utilisation de chaque application. Cela révèle, par exemple, le moment et la durée des appels téléphoniques. L’effet est similaire à l’utilisation de cookies pour suivre l’activité des personnes lorsqu’elles passent d’une page Web à une autre. Ces données semblent être envoyées hors d’Europe, à Singapour.
Sur le téléphone Huawei, le clavier Swiftkey envoie à Microsoft des informations sur l’utilisation des applications au fil du temps. Cela révèle, par exemple, quand un utilisateur écrit un texte, utilise la barre de recherche, recherche des contacts.
Samsung, Xiaomi, Realme et Google collectent des identifiants d’appareils à longue durée de vie, par exemple le numéro de série du matériel, ainsi que des identifiants publicitaires réinitialisables par l’utilisateur. Cela signifie que lorsqu’un utilisateur réinitialise un identifiant publicitaire, la nouvelle valeur de l’identifiant peut être trivialement reliée au même appareil, ce qui peut compromettre l’utilisation des identifiants publicitaires réinitialisables par l’utilisateur.
Des applications système tierces, par exemple celles de Google, Microsoft, LinkedIn et Facebook, sont préinstallées sur la plupart des appareils et collectent silencieusement des données, sans possibilité de retrait. Il peut exister un écosystème de données dans lequel les données collectées à partir d’un téléphone portable par différentes entreprises sont partagées/liées. Il a notamment été observé que la variante e/OS d’Android, axée sur la protection de la vie privée, ne transmet pratiquement aucune donnée.