Les smartphones nous espionnent-ils ? Oui, mais pas comme vous le pensez
Je vous l'avais bien dit !
Les smartphones nous espionnent-ils à travers le micro ? On lit souvent un peu tout et n’importe quoi sur le sujet. Au-delà des coïncidences troublantes, que sait-on de l’utilisation faite du micro ? Comment font les publicités pour nous cibler aussi précisément ?
Le 14 octobre à 09h58
8 min
Sécurité
Sécurité
Sur le sujet, il faut aborder quelques points techniques. D’abord, que ce soit sur Android ou iOS, l’activation du micro par une application ne peut pas se faire sans que le système affiche une pastille de couleur pour indiquer qu’un enregistrement est en cours. L’application n’a pas le choix : l’accès au micro passe par une demande d’autorisation, que l’utilisateur doit valider. La fonction est gérée par le système, qui se charge d’afficher la pastille, pour des raisons de protection de la vie privée justement. La simple acceptation des conditions d’utilisation n’est pas suffisante.
Le cas des assistants vocaux
Cette pastille s’affiche aussi quand on déclenche les mots-clés qui provoquent l’activation de l’assistant vocal, les fameux « Hey Google » et autre « Dis Siri ». Preuve que le micro écoute tout ? Oui et non. On parle d’écoute passive : le micro est ouvert, mais aucun enregistrement n’est lancé tant que les mots-clés ne sont pas prononcés. Si c’est le cas, l’enregistrement démarre et il y a émission de données vers un serveur, pour que celui-ci génère sa réponse.
Précisons que les requêtes faites à ces assistants ne sont pas toutes envoyées vers un serveur. Avec Siri par exemple, certaines requêtes simples peuvent être exécutées localement, notamment pour la gestion de certaines configurations domotiques accessibles en Wi-Fi. Mais le sujet n’est pas très clair.
En outre, Apple et Google ont chacune une politique de confidentialité (ici pour Apple, là pour Google). Les sociétés y expliquent ce qui se passe quand on appelle leur assistant. Identifiant aléatoire, absence de profilage marketing et de lien avec le compte, minimisation des données ou encore préservation des données sont autant de thématiques abordées. Et si vous n’avez quand même pas confiance, ces fonctions peuvent être désactivées.
Toute activité peut être source de personnalisation
Mais alors, d’où vient ce puissant à propos publicitaire ? Il y a ici de nombreux facteurs, dont le plus important : il ne faut jamais sous-estimer le marché de la publicité. Il s’est développé presque en même temps que le web. En plus de trois décennies, les systèmes se sont adaptés et utilisent toutes les données passant à leur portée pour personnaliser les contenus.
De là à espionner activement ? Tout dépend ce que l’on appelle activement. Si vous voulez dire qu’une application peut déclencher d’elle-même le micro pour écouter ce que vous dites et y piocher des informations susceptibles de générer une publicité adaptée, la réponse est non. C’est techniquement impossible, à moins d’une faille. Une vulnérabilité de cet acabit a d’ailleurs été corrigée chez Apple tout récemment.
Pour le reste, les fonctions dévolues à la publicité font feu de tout bois. Le suivi de ce que vous faites sur le web est primordial bien sûr, mais les applications peuvent également communiquer entre elles. C’est d’autant plus vrai quand elles émanent d’une seule société.
C’est ainsi le cas chez Google et Meta, deux entreprises dont le chiffre d’affaires provient en très grande majorité des recettes publicitaires et dont les applications sont utilisées par des milliards de personnes. Partez du principe que dans la plupart des applications gratuites, tout ce que vous faites peut servir de support à une publicité. Ne vous étonnez donc pas si vous voyez apparaître sur Instagram une publicité liée à un sujet que vous avez évoqué une heure plus tôt sur Messenger.
Une question de proportionnalité
Il faut également garder en tête la question de la proportionnalité : s’il était possible d’écouter tout le monde, tout le temps, l’opération serait-elle rentable ? Non, d’autant qu’elle serait immédiatement visible. Car un flux audio permanent se manifesterait par une activité réseau certaine. En outre, il faudrait que les entreprises puissent absorber des centaines de millions de ces flux, les enregistrer pour ensuite les travailler. Des algorithmes de détection seraient alors utilisés pour extraire les sujets potentiels. Une débauche de moyens, coûteuse en stockage et en énergie.
Il faut en outre casser quelques idées reçues. D’abord sur les VPN. Vous le savez, nous nous sommes exprimés régulièrement sur le sujet depuis des années, dont un édito en avril dernier. Un VPN peut-il garantir un anonymat ? Non, ne serait-ce que parce que vous allez vous servir de vos comptes.
En outre, le VPN utilisé sait tout de vous, puisque tout passe par lui. Selon la formule consacrée, utiliser un VPN, c’est utiliser la connexion de quelqu’un d’autre. Et pour mettre fin à la confusion, l'utilisation d'une telle solution ne supprime pas la personnalisation de la publicité. Au mieux, certains critères sont moins présents, comme la géolocalisation. Jamais, en tout cas, un VPN ne rendra votre appareil indétectable.
Un peu de géolocalisation, quelques grammes de Wi-Fi
Cette position géographique participe activement à la personnalisation de la publicité. Elle peut être obtenue de diverses manières. Le positionnement précis par GPS peut être utilisé si l’application dans laquelle apparait la publicité l’a obtenu. Nous évoquions déjà l'importance de la géolocalisation dans le monde de la publicité il y a dix ans.
Mais, comme pour le micro, l’accès à la géolocalisation précise réclame une autorisation de l’utilisateur. En revanche, l’antenne cellulaire « accrochée » par le smartphone et la connexion Wi-Fi sont fréquemment utilisées pour obtenir une localisation approximative. Largement suffisante par exemple pour savoir dans quelle ville vous êtes.
Puisque l’on parle du Wi-Fi, plusieurs appareils reliés au même réseau peuvent-ils « s’échanger des informations » ? Pas dans le sens où on l’entend. Cependant, chaque appareil dispose d’un identifiant publicitaire ou d’un mécanisme équivalent. Le réseau Wi-Fi utilisé est également pris en compte, ne serait-ce qu’à travers l’adresse IP.
Il est donc simple pour une plateforme publicitaire d’envoyer des publicités d’un de ces appareils vers les autres. Par exemple, une personne chez vous fait une recherche sur le web, et vous voyez apparaitre une publicité sur votre propre écran. Une technique appelée « cross-device advertising », qui fonctionne aussi bien entre plusieurs appareils d’une même personne que ceux de plusieurs personnes connectées au même endroit.
« Regarde cette publicité. C’est fou, on en parlait il y a une heure ! »
Toutes ces informations alimentent la personnalisation de la publicité et peuvent donner l’impression que les smartphones espionnent. Mais il ne faut pas confondre ciblage et espionnage. En outre, n’oublions pas l’illusion de fréquence. Un biais classique de sélection qui survient par exemple lorsque l’on apprend un nouveau mot et que celui-ci a l’air soudainement d’apparaitre partout.
En l’état actuel des connaissances, un smartphone ne vous espionne donc pas. En revanche, il sert de relai à vos applications et au marché publicitaire qui vous ciblent intensément par tous les moyens disponibles (et ils sont nombreux).
Il y a bien sûr une exception notable : les logiciels espions. On entre ici dans une toute autre catégorie d’activité, punie par la loi. Les fréquents remous provoqués par le logiciel Pegasus de NSO Group l’ont montré à de multiples reprises.
Mais même sorti de logiciels nécessitants des budgets élevés et/ou réservés à des États, les logiciels espions sont une réalité. Parmi ceux que l'on pourrait effectivement croiser, on distingue deux catégories. D'abord, ceux développés par des groupes de pirates et qui ont, le plus souvent, besoin d'une faille à exploiter pour s'installer. Ensuite, ceux que des personnes malintentionnées peuvent installer sur des appareils de leur entourage pour les espionner.
Les smartphones nous espionnent-ils ? Oui, mais pas comme vous le pensez
-
Le cas des assistants vocaux
-
Toute activité peut être source de personnalisation
-
Une question de proportionnalité
-
Un peu de géolocalisation, quelques grammes de Wi-Fi
-
« Regarde cette publicité. C’est fou, on en parlait il y a une heure ! »
Commentaires (44)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 14/10/2024 à 10h08
J'adore la formule. Je suppose que c'est une question de sémantique.
Le 14/10/2024 à 10h31
Le 14/10/2024 à 10h30
Le 14/10/2024 à 10h37
(et ils sont nombreux).
certes il faudraitutiliser les bons* mots, mais pour l'utilisateur lambda il ne 'voit' pas trop la différence !
* ( "vous n'êtes pas espionner, vous êtes cibler") mouhai....
Le 14/10/2024 à 10h45
Le 14/10/2024 à 11h08
Le 14/10/2024 à 11h49
- les applis ont déjà - la plupart du temps - accès au micro (autorisation activée) puisqu'ils prévoient toujours une fonction qui en à besoin.
- a ma connaissance, la pastille d'activation du micro n'est pas présente sur les vieilles version d'Android (je ne sais pas de quand ça date).
- le flux réseau qui serait lié à une écoute : une routine qui ne fait qu'identifier des mots-clés en tâche de fond me parait tout à fait possible en local, et ce sans impact significatif pour l'utilisateur (batterie drain, chauffe ou autre). l'envoi des quelques mots-clés identifiés peut être extrêmement léger dans le flux réseau et difficile à "voir".
- le ciblage agressif, même cross-device, n'explique pas comment une pub ciblée peu apparaitre sur un sujet particulier qui n'a été abordé qu'oralement. Situation que je constate de manière récurrente.
Bref, sans tomber dans la théorie du complot, mais vu le contexte actuel sur ces sujets : la possibilité technique est en place, les gains potentiels importants; je ne vois pas par quel mystère ils s'en priveraient.
Modifié le 14/10/2024 à 12h16
Le 14/10/2024 à 12h15
Ca fait un paquet de monde à tenir en laisse entre les ingénieurs hard/soft, les commerciaux et les acheteurs, sans parler de tout le middle management ou de tous les techs qui pourraient découvrir le pot aux roses à n'importe quel endroit de la chaine technologique.
Sur le seul plan social, cette explication d'une conspiration publicitaire ne tient pas, si un seul whistleblower venait vers nous avec des informations concrètes, nous ferions un carton planétaire d'audience, et tous les médias publieraient pareil.
Modifié le 14/10/2024 à 15h09
Alors j'essaye de retourner la question : comment se fait-il que ça ne soit pas (encore) le cas?
On a tellement d'exemples où, parce qu'on peut le faire techniquement, alors quelqu'un va le faire, en dehors de toute autre considération si ce n'est l'appât du gain potentiel.
Est-ce que l'usage assumé du micro est une ligne rouge que les acteurs de la tech ne souhaitent pas franchir?
Il n'y a pas l'air d'avoir beaucoup de lignes rouges de nos jours. La grosse dérive des voitures connectées sur la collecte et la revente des données des utilisateurs est le dernier exemple qui me vient.
En quoi est-ce moins pire ou plus acceptable que d'utiliser le micro de nos smartphones?
Edit / source : le rapport de la fondation Mozilla sur le sujet des voitures connectées
Le 14/10/2024 à 15h18
Si un éditeur d’app avait le pouvoir sut la techno pour le faire, ce serait fait depuis longtemps et il se serait probablement fait griller rapidement si le dispositif avait été déployé à grande échelle, tant par l’utilisation excessive de la batterie que ça pourrait engendrer, que par le nombre de personnes nécessairement élevé à mettre dans une confidence un peu scandaleuse tout de même.
Modifié le 14/10/2024 à 15h34
Seulement, si c'est la seule, ça me parait particulièrement fragile face aux enjeux.
Quid de l'enquête de 404 média sur CMG (paywall)?
(je précise que c'est un sujet que j'ai simplement vu cité ailleurs. je n'ai pas fait de recherche sur le sérieux de ce site).
Le 14/10/2024 à 15h52
Je ne pense pas que ce soit un gros risque personnellement.
Le 14/10/2024 à 21h52
Le 14/10/2024 à 22h08
Quel est l’intérêt de Google et Apple de permette sciemment le contournement de leurs barrières en place par un acteur publicitaire tiers ?
Je n’en vois aucun.
Le 14/10/2024 à 22h16
D'ailleurs si Google et Meta annoncent enquêter et/ou couper les ponts avec CMG c'est bien qu'il y avait quelque chose de pas net là-dedans
Le 16/10/2024 à 11h18
C'est difficile de savoir dans quelle mesure c'est du flan marketing de la part de CMG qui gonfle peut-être une pratique très marginale qu'ils ont pu avoir en profitant de partenariat avec des fabricants de devices disons "peu regardants"
Mais via les appareils contrôlés par les GAFA c'est peu probable et c'est pas forcément une preuve d'une implication de leurs parts. Le message de CMG est suffisant pour refuser de vouloir collaborer avec eux.
Le 14/10/2024 à 17h50
Outre le caractère très approximatif de la solution (un téléphone c'est souvent dans une poche, avec le son étouffé, le micro qui frotte contre le tissus et qui ne laisse entendre que "FRRRRFRRRRFRRRRR", etc.), l'avantage économique d'une simple détection de quelques mots-clés hors-contexte ne me semble pas nécessairement d'une valeur ajoutée si élevée que ça, par rapport au milliard d'informations croustillantes que les publicitaires peuvent obtenir tout à fait légalement, facilement et sans recourir au moindre complot.
Le 15/10/2024 à 07h12
Pour avoir des fonctionnalités comme "Now Playing", il faut bien qu'Android écoute en permanence.
Après, toutes les données collectées restent en local, et le système mis en place d'apprentissage fédéré est sensé permettre de remonter des données anonymisées à Google tout en préservant la confidentialité (Si j'ai bien compris).
Je serai d'ailleurs très intéressé par un dossier expliquant le fonctionnement de l'apprentissage fédéré.
Le 15/10/2024 à 07h43
Mais nous ne parlions pas de cela ici 😊
Modifié le 14/10/2024 à 11h52
Perso je n'ai jamais vu de telle pastille.
Le raccourci est un peu rapide, toutes les applications ne se valent pas.
J'utilise Firefox Focus au quotidien, je doute qu'il partage autant mes données que Google Chrome par exemple.
Modifié le 14/10/2024 à 11h54
Le 14/10/2024 à 11h57
Le 14/10/2024 à 12h22
Le 14/10/2024 à 12h57
Le 14/10/2024 à 13h13
Lors que vous êtes connecté au même wifi, ou simplement que votre téléphone voit les mêmes wifi, Google (par ex) peut conclure que les centres d'intérêt des personnes autour de vous peuvent vous intéresser.
C'est comme ça que "juste en discutant" avec quelqu'un, on se retrouve avec des pubs ciblés sur un sujet uniquement oral.
Le 14/10/2024 à 13h19
Le 14/10/2024 à 13h56
Le 14/10/2024 à 14h21
Et si c'est un partenariat, l'argent de l'état sera toujours mieux investit que dans Qwant
Le 14/10/2024 à 14h00
Se pose aussi la question des nombreuses personnes qui dictent leurs messages à leur terminal (en utilisant la fonctionnalité intégrée à leur clavier), voire tout simplement de la capacité des claviers logiciels à capturer les données saisies... j'ai fini par utiliser le clavier AnySoft Keyboard, tout en sachant que l'histoire récente a montré qu'un projet OSS pouvait être compromis...
(Et, de mon côté, je n'ai jamais vu la pastille en question sur mes appareils Android)
Modifié le 14/10/2024 à 15h20
pastille
En haut pour la vidéo, au milieu pour l'audio et en bas miniaturisation de la pastille après quelques secondes.
(sous Android 12, la plus vieille encore maintenue 😅)
Modifié le 14/10/2024 à 14h53
Apple's new Secure Indicator Light (SIL) mechanism: When using the microphone or camera, the corresponding indicator dot is effectively rendered in hardware (using the display), making it a lot less likely that any malware or user space app would be able to access those sensors without the user’s knowledge.
Le 14/10/2024 à 16h10
Ah ben heureusement qu'ils ajoutent des capacités IA à toutes les puces, comme ça la transcription live va pouvoir se généraliser. Ensuite on envoie de temps en temps au serveur ce qui a été dit dans les x dernières minutes, heures...
Le 14/10/2024 à 17h55
Le 16/10/2024 à 15h13
Modifié le 15/10/2024 à 08h03
Installer un bloqueur de pubs à l'échelle du système, ou utiliser le dns privé, ceux de adguard qui filtrent les pubs, trackers, etc, en autre.
Évidemment, Android en lui-même part le fait de devoir connecter notre compte google permet une entrée dans le flicage difficilement contournable sauf à rooter.
Quand certaines personnes disent, si on veut éviter tout flicage, faut revenir à l'âge de pierre, là ça aurait tout son sens.
Le 15/10/2024 à 09h30
Pour ma part je n'ai jamais eu de publicité sur mes téléphones. Peut-être parce que je n'ai pas consenti à utiliser des applis qui diffusent de la pub.
Le 15/10/2024 à 08h45
Pour les curieux, ou ceux qui se pensent encore protégé derrière un VPN : https://amiunique.org/fr
Le 16/10/2024 à 11h40
Le 21/10/2024 à 08h56
Modifié le 22/10/2024 à 09h37
Parce que du coup, forcément qu'on est tous unique à partir du moment où il te répond toujours que tu es unique même si ta signature est partagée par d'autres personnes.
Je voulais juste tester à quel point ce site est sincère dans le résultat présenté. A partir du moment où j'efface leurs outils externes au fingerprinting qui leur permettrait de recouper des fingerprints égaux mais provenant de sources différentes.
Parce que se baser sur l'unicité du fingerprint pour prouver son unicité, c'est... biaisé. À ce titre, je peux juste reprendre ton user-agent. Vu que je le met dans une table dont l'user-agent est lui-même une clé primaire ben tu seras unique. Si deux personnes partagent le même browser, il s'avère juste que je vous considère comme la même personne et l'user agent unique du coup.
Je ne conteste pas que le fingerprinting puisse être utilisé efficacement à des fins de pistage, je pense que c'est plutôt vrai. Je questionne juste ce site en particulier.
C'est soit réducteur pour faire passer un message, soit ils se basent sur une propriété que je n'ai pas effacé entre les différents tests.
Le 23/10/2024 à 11h45
Tu as notamment la liste des fontes installées sur ton OS, l'API WebGL du navigateur qui va utiliser ton GPU (ou SOC) pour tracer de la 3D de manière assez unique, ton matériel et les capteurs dispo (surtout sur mobile), la taille de ta fenêtre (ça semble bête mais il suffit parfois de 2 ou 3 critères pour définir ton unicité). J'en passe des plus ou moins complexes.
Modifié le 25/10/2024 à 11h32
Mon image de juste tenir compte de l'user-agent c'est de justement montrer qu'avec une technique de fingerprinting toute pétée, ben on arriverait au même degré d'unicité "affiché".
Ma question c'est sur l'affichage du message "Vous êtes uniques par rapport aux X autres empreintes". Ca veut dire quoi ? Le message est sensé vouloir dire que je suis la seule personne ayant cette empreinte mais du coup, ils ont besoin d'une autre source de donnée pour garantir ou au moins avoir de bonnes chances de détecter qu'il s'agit de la même personne pour ne pas incrémenter le compteur d'usage d'une empreinte.
Se baser sur le fait même que l'empreinte est unique pour prouver son unicité, c'est un problème. Le bandeau "Vous êtes unique" n'est plus conditionnel du tout alors.
D'où mon questionnement, je m'attends à ce qu'ils ne soient pas mensongers à ce point ^^
Le 14/11/2024 à 15h45