La Cnil confirme la grande indiscrétion des smartphones
Avis d’expert : Depuis un an, la Commission nationale Informatique et Libertés et l’Inria ont scruté les données enregistrées, stockées et diffusées par les smartphones, et en premier lieu l’iPhone. Les résultats sont sans surprises mais font froid dans le dos.
Dans un tout récent sondage de BVA pour le Syntec Numérique, il apparaît que 77% des Français doutent de la sécurité des données privées sur tablettes et smartphones. Cela n’empêche pas ces terminaux de se vendre par millions mais il apparaît clairement que la question des données devient prégnante pour les utilisateurs.
La Cnil (Commission nationale informatique et libertés) a voulu en avoir le coeur net, à travers une approche scientifique. Depuis un an, l’autorité indépendante et l’Inria ont scruté les données enregistrées, stockées et diffusées par les smartphones, et en premier lieu l’iPhone.
Ce projet, baptisé Mobilitics, s’articule sur le laboratoire d’innovation de la Cnil et un partenariat avec l’Inria qui a développé un logiciel de collecte d’événements et de données transmises par ces terminaux.
L’objectif est de mettre en place une expérimentation « in vivo ». Ainsi, l’outil de collecte a été implémenté dans 6 iPhone distribués à des volontaires de la Cnil qui les ont utilisés en tant que téléphone principal pendant trois mois.
« Des volumes de données impressionnants »
Les résultats ne sont pas représentatifs puisque les testeurs ont utilisé librement l’iPhone et les applications mais la Cnil souligne que ses résultats, pour le moment préliminaires, illustrent assez bien les usages courants des mobinautes.
Reste que les conclusions, si elles sont sans surprises, confirment que le smartphone, en l’occurrence l’iPhone (une étude Android viendra plus tard) vous suit à la trace et envoie une quantité colossale de données, des envois pas toujours justifiés.
Ainsi, les tests menés ont généré pas moins de 7 millions d’événements (envois de données, accès à des informations personnelles, accès au réseau, géolocalisation etc…) soit 9 Go de données à traiter, à travers 189 applications utilisées.
On peut donc bien affirmer que la boîte noire qu’est le smartphone fonctionne à plein régime lors de l’utilisation d’applications. Concrètement, dans 93% des cas, l’application accède au réseau.
« Pour de nombreux outils cela se justifie mais un jeu a-t-il vraiment besoin de se connecter au Web », s’interroge la Cnil qui souligne que ces accès se font « sans une information claire des utilisateurs ».
Dans 46% des cas, l’application accède à l’UDID (identifiant unique Apple) qui permet au développeur de tracer l’utilisateur, notamment à des fins publicitaires. 33 applications des 87 qui envoient cette donnée le font « en clair » et plusieurs fois dans la même session.
La Cnil met ainsi en avant l’application d’un quotidien qui a accédé 1989 fois à l’identifiant unique et l’a transmis 614 fois à l’éditeur, lors des trois mois du test… Il apparaît d’ailleurs que les applis de la catégorie « Actualités » sont les plus friandes de cet accès.
Si Apple a d’ores et déjà annoncé que l’UDID ne serait plus accessible aux développeurs, « il a introduit de nouveaux identifiants dédiés au ciblage (et) la question de l’information et du contrôle demeure », souligne la Cnil.
Dans 31% des cas, l’application accède à la géolocalisation. Encore une fois, la Commission s’interroge sur ce volume, estimant que cet accès ne se justifie pas toujours.
Concrètement, 41 000 événements de géolocalisation ont été enregistrés pour les 6 testeurs pendant 3 mois…, soit une moyenne de 76 par jour et par volontaire. « Nous avons été surpris par un tel volume », commente d’ailleurs les responsables en charge du projet.
Responsabiliser tous les acteurs de la chaîne de valeur
Et de poursuivre : « que ce soit de façon délibérée, par facilité ou en raison d’une erreur de développement, cela conduit à une permanence des accès à la localisation par une pléiade d’applications ».
Enfin, les tests ont montré que 16% des applications utilisées accèdent au nom de l’appareil (pour un usage de cette donnée qui est peu clair, note la Cnil), 10% à des comptes, 8% au carnet d’adresses, 2% au compte Apple et au calendrier.
Ces résultats, encore à affiner, font froid dans le dos. Quels sont alors les moyens d’agir. A travers le G29, les Cnil européennes ont listé un certains nombre de recommandations.
Il s’agit de responsabiliser tous les acteurs de la chaîne de valeur. « Les développeurs doivent intégrer dès le départ les problématiques informatique et libertés dans une démarcher privacy by design. Les boutiques d’applications doivent inventer des modes innovants d’information et de recueil du consentement. Les acteurs tiers ne doivent collecter que les données nécessaires et ce en toute transparence. Enfin, un contrôle plus fin des paramètres de l’OS pourrait être proposé sans dégrader l’expérience utilisateur ».
Car l’utilisateur est en première ligne. Reste que sa marge de manoeuvre est étroite tant le paramétrage d’un smartphone est complexe. Modifier le suivi publicitaire sur iOS prend ainsi 5 étapes… La Cnil et l’Inria ont d’ailleurs développé un outil assez simple afin de paramétrer les autorisations pour chacune des applications installées.
Reste qu’Apple interdit ce genre d’outil qui modifie son OS. On ne le verra jamais dans l’AppStore, ce qui est bien dommage. « Il y a d’autres solutions à mettre en place, notamment en matière de communication », insiste la Cnil. Mais est-ce vraiment suffisant.
Par ailleurs, on peut se demander si dans certains cas, les éditeurs d’applications ne jouent pas avec la légalité. « On va pousser nos recherches pour comprendre. Ensuite, on pourra dire s’il y a action malveillante ou pas », nous explique Stéphane Peticolas, ingénieur expert pour la Commission.
« On ne fait pas ces tests pour poursuivre tel ou tel éditeur. Nous sommes dans un cadre de recommandations de bonnes pratiques, afin de faire passer des messages aux acteurs du secteur, en complément des préconisations du G29 », précise Isabelle Falque-Pierrotin de la Cnil.
Par Olivier Chicheportiche pour zdnet.fr
10 conseils de la CNIL
En attendant un rapport plus détaillé sur la question, la CNIL (Commission Nationale de l’Informatique et des Libertés) nous livre 10 conseils à suivre pour mieux protéger notre vie privée :
1. Exit du portable les codes secrets ou d’accès et les coordonnées bancaires. Gardez-les chez vous dans un endroit sûr.
2. S’il est indispensable de conserver un code PIN lors de l’allumage du mobile, modifiez celui proposé par défaut. Optez pour un code plus compliqué que votre date de naissance !
3. Mettez en place le verrouillage automatique de votre téléphone pour empêcher la consultation de vos informations en cas de perte ou de vol.
4. Certains mobiles permettent d’activer le chiffrement de sauvegarde du téléphone. Si c’est votre cas, réalisez cette manipulation simple qui permet de sécuriser les données stockées (elles ne pourront être consultées qu’avec le mot de passe que vous aurez préalablement défini).
5. Conservez chez vous le code IMEI de votre mobile (numéro de série unique) qui permet de le bloquer en cas de perte ou de vol.
6. Installez un antivirus.
7. Privilégiez les applications téléchargées sur les plateformes officielles.
8. Avant de télécharger une application, vérifiez à quelles données stockées elle aura accès.
9. Consultez les avis des utilisateurs sur les services que vous souhaitez télécharger et soyez attentifs aux conditions d’utilisation.
10. Véritable mouchard, le smartphone permet de vous localiser n’importe où. Paramétrez votre téléphone et les applications téléchargées de manière à contrôler quand et par qui vous acceptez d’être géolocalisé. Désactivez le GPS ou le WiFI quand vous ne vous servez plus d’une application de géolocalisation.