Vie privée : attention aux applications préchargées sur Android
Une étude universitaire met en lumière l’existence d’une « industrie de la data » qui tire parti des applications préchargées sur les appareils Android.
Autour d’Android s’est constitué un écosystème basé sur une philosophie d’open source et d’innovation, permettant des prix bas et un large choix pour les utilisateurs finaux.
Cet argument, Google l’a notamment avancé auprès de la Commission européenne, dans le cadre de la procédure antitrust qui lui a valu une amende de plus de 4 milliards d’euros.
Julien Gamba, Mohammed Rashed, Abbas Razaghpanah, Juan Tapiador et Narseo Vallina-Rodriguez ne remettent pas tant en cause ledit argument que le réel bénéfice pour les utilisateurs finaux.
Les cinq chercheurs pointent plus particulièrement le manque de transparence de cet écosystème.
Leurs conclusions – qu’ils présenteront en mai dans le cadre du 40e Symposium sur la sécurité et la vie privée organisé par l’IEEE – résultent de l’analyse de dizaines de milliers d’applications préchargées sur des appareils Android.
Le rapport préliminaire (document PDF, 17 pages) donne la couleur : derrière ces applications souvent impossibles à supprimer, voire à désactiver, se cache une « industrie complexe » fondée sur l’exploitation de la data.
Gamba et al. donnent du contexte à leur étude en rappelant, entre autres, les accusations de collectes abusives de données qui pèsent sur OnePlus. Ou encore l’enquête en cours aux États-Unis concernant de possibles accords entre Samsung et Facebook, là aussi pour récupérer de la data, sans consentement.
Sous les radars
La « philosophie d’open source » qu’évoque Google se traduit par la possibilité de modifier Android dans une certaine mesure.
Le préchargement d’applications en est une forme. Seulement, le processus n’est pas toujours à la hauteur des enjeux : il n’est pas rare que de mauvaises implémentations engendrent des soucis de sécurité.
Or, les applications problématiques ont tendance à passer sous les radars, en particulier du fait qu’elles sont généralement absentes des app stores*- et par là même, en outre, moins fréquemment mises à jour.
Un tel manque de contrôle, c’est aussi la porte ouverte à des pratiques indésirables. On en revient là à cette fameuse « industrie de la data » et à ses techniques de contournement des limites que Google impose pour protéger la vie privée des utilisateurs d’Android.
Parmi ces limites figurent les permissions, que l’utilisateur est censé accorder au cas par cas aux applications.
Cela fonctionne pour celles qu’on installe, mais celles qui sont préchargées peuvent passer entre les mailles du filet. Les utilisateurs ne sont parfois tout simplement pas mis au courant de leur existence. Et lorsqu’ils le sont, c’est quelquefois de façon très vague.
Certaines des pratiques mises en lumière reposent sur la possibilité, pour les développeurs, de définir des autorisations « personnalisées » afin de partager des fonctionnalités avec d’autres services.
Les certificats électroniques utilisés pour signer les applications sont une autre zone grise. On y retrouve, à l’examen, de grands noms du numérique (Google, LinkedIn, Spotify…) et de multiples services publicitaires.
* Sur les 82 501 applications examinées, 9 % étaient présentes sur Google Play. L’étude dans son ensemble a englobé 1 742 appareils de 214 marques.
Photo d’illustration © Asif Islam – Shutterstock.com