On le savait déjà pour les sites web, on le sait maintenant pour les applis : les mouchards – également appelés trackers – nous envahissent. Des chercheurs en sécurité de Yale Privacy Lab et Exodus, une association française, viennent de passer au crible plus de 300 applications Android en utilisant des techniques de détection proches de celles des antivirus, à savoir des bases de signatures. Ils ont ainsi pu identifier 44 trackers, ce qui est assez énorme.
Pour chaque application, Exodus a créé un rapport d’analyse qui indique les mouchards qu’elle héberge et les privilèges d’accès dont ils jouissent. Tous ces rapports sont disponibles en ligne. Parmi les 44 trackers identifiés, Yale Privacy Lab en a analysé 25 de manière approfondie. Les rapports peuvent être consultés en ligne sur GitHub.
Ces mouchards s’appellent Xiti, Doubleclick, Flurry, Demdex, Ligatus, MoPub, Teemo, Weborama, etc. La plupart des applications en contiennent au moins un, ne serait-ce que pour collecter des données techniques relatives aux bugs ou à l’audience. Les applications orientées sécurité – comme Signal, DuckDuckGo ou SpiderOakONE – forment l’exception à cette règle et n’en comptent aucun. Mais souvent, les applis en embarquent plusieurs. L’application « Espace Client Bouygues Telecom », par exemple, en contient six : trois pour des données techniques et d’audience (Crashlytics, HockeyApp, Xiti) et trois pour la publicité, le marketing et le ciblage comportemental (DoubleClick, Flurry, ExactTarget).
Aucun moyen de se protéger
L’application mobile « Mon AXA » de l’assureur éponyme en compte autant. Elle est battue par l’application de torche électrique « Super-Bright LED Flashlight » qui en compte sept. Mais c’est toujours moins que l’appli du BonCoin (8 trackers), d’AlloCine (11 trackers) ou de Télé Star (14 trackers).
Cette quantité de mouchards peut surprendre. Toutefois, ces chiffres sont comparables à ce que l’on trouve sur les sites web. Le but de ces différents logiciels de surveillance est toujours le même : en savoir le plus possible sur l’utilisateur. Mais la manière diffère. Certains sont davantage portés sur le ciblage comportemental, d’autres s’intéressent plus à la localisation.
De ce point de vue, le smartphone – qui est doté de multiples capteurs – est évidemment plus intéressant qu’un simple site web. Mais le risque pour la protection des données personnelles est également plus grand, d’autant plus qu’il n’existe pas à ce jour de moyen de se prémunir contre ces trackers. Sur un navigateur, l’utilisateur a la possibilité d’installer des extensions de blocage telles que Disconnect, Privacy Badger ou Adblock Plus.
Pour des raisons techniques, Yale Privacy Lab et Exodus se sont limités aux applications Android. Mais il est fort probable que les applications iOS soient tout aussi infestées.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.