L’effet du RGPD sur les trackers des applications Android, selon Exodus Privacy
Joyeux anniversaire !
Il y a pile un an, Exodus Privacy publiait son outil d'analyse d'applications Android, en quête de mouchards jusqu'ici invisibles. L'association diffuse aujourd'hui des statistiques et un large lot de données sur les conséquences du RGPD sur ces trackers, six mois après son entrée en application.
Le 24 novembre 2017, Exodus Privacy révélait son projet au grand jour, après trois mois de travail dans l'ombre. Nous l'avions suivi à l'époque. L'association cherche des références à des outils de pistage connus dans le code des applications Android, récupéré depuis le Google Play Store.
L'ensemble est présenté dans un site complet, par application, trackers ou sous forme de statistiques. L'annonce d'Exodus avait été menée en partenariat avec Le Monde et le Yale Privacy Lab, montrant l'ampleur de l'infestation de ces applications par des mouchards souvent invisibles.
Le projet est né du scandale Teemo, du nom d'un mouchard intégré à de nombreuses applications françaises, suivant à la trace leurs utilisateurs. Une affaire qui s'est conclue début octobre par une mise en conformité de l'entreprise avec le droit sur la protection des données, sous la contrainte de la CNIL.
Pour fêter son anniversaire, l'association analyse l'évolution de ces trackers après l'arrivée du Règlement général sur la protection des données (RGPD), qui doit améliorer la protection de la vie privée en Europe depuis le 25 mai.
Sur le top 85 mondial, pas de changement pour la moitié
Exodus Privacy a étudié les 85 applications les plus téléchargées sur le Google Play Store dans le monde, pour voir si des trackers ont été ajoutés ou retirés suite au règlement. Le bilan est mitigé : près de la moitié (40 applications) n'auraient simplement pas revu leur nombre de trackers, 19 en auraient ajouté et 26 en auraient supprimé.
Quatre applications se sont débarrassées de tous leurs trackers. La variation maximale est la même à la hausse et à la baisse : six mouchards. Xender en aurait supprimé ce nombre, quand BeautyPlus les a ajoutés. Le record de 22 pisteurs détectés est désormais partagé par les applications 4shared et My Talking Tom (plus de 500 millions de téléchargements).
Pour obtenir ses statistiques, Exodus Privacy prend la dernière analyse lancée avant le RPGD et la dernière en date, après le règlement. Cette méthode est censée tenir compte des nettoyages pré-RGPD de certains éditeurs. Un bémol : le service cherche des références aux mouchards dans les applications, sans garantie qu'ils sont effectivement utilisés par celles-ci. La présence d'une telle référence ne signifie donc pas strictement une activité dans l'application concernée.
Source : Exodus Privacy
Jusqu'ici, les rapports étaient consultables via le site dédié. Pour son anniversaire, Exodus Privacy fournit deux fichiers tirés de la base de données. D'une part, un export contenant toute la base avec les noms des trackers intégrés. D'autre part, un export centré sur les applications disposant d'un rapport pré et post-RGPD.
Sur plus de 37 000 applications, seules 1 401 correspondent à ce critère, selon nos constatations. Explication : les rapports sont déclenchés manuellement par les internautes ou un membre de l'association. Lancer une analyse globale après le règlement, sur toute la base, aurait été trop exigeant pour les serveurs.
Esther, cofondatrice de l'association, a conçu un script (dans le langage de traitement statistique R) pour consulter la base de données (via l'API du service) et reproduire les graphiques publiés aujourd'hui. Il est exploitable par tout habitué des lignes de commandes. Il prend en entrée une liste d'applications : un fichier texte avec les identifiants Play Store.
Des applications se sont vidées, d'autres ont ajouté des trackers
Avec l'aide d'Esther et du logiciel RStudio, nous avons étendu l'analyse à l'ensemble des applications disposant d'un rapport avant et après le 25 mai. En ajoutant la ligne write.csv(d, file ="MyData.csv") au script, il exporte un fichier CSV avec l'ensemble des données traitées, soit le nombre de mouchards avant et après l'entrée en application du règlement, ainsi que la variation.
La plus indiscrète des 1 401 applications est Marmiton, avec 29 trackers avant le RGPD et 30 après. Il est suivi par TéléStar et Perfect365, qui comptent 28 et 27 traces aux dernières nouvelles. Pour plus de la moitié de ce large échantillon (808 logiciels), aucun changement n'a été constaté.
236 applications ont retiré des mouchards, soit 16 %. Six d'entre elles se sont vidées de plus de dix trackers, dont Folio for Facebook et Messenger, Friendly for Facebook et SFR Presse. 26 applications (1,8 % de l'échantillon) ont même supprimé toute référence à ces pisteurs, dont Alipay, Facebook, NetGuard, Qwant, SFR Répondeur+ et Waze. Un geste à saluer.
À l'inverse, 357 applications (25 % du total) ont vu de nouvelles références apparaitre. Voici la liste des pires contrevenants, selon ces identifications :
- AlloCiné (+ 25 détectés, 27 au total)
- VPN Proxy by Avast (+ 11, 14 au total)
- Coop Supercard (+ 10, 13 au total)
- Gulli - L'appli des enfants (+ 10, 13 au total)
- Reverso (+ 9, 15 au total)
Avant le RGPD, 274 applications ne contenaient aucun mouchard. Selon Exodus, plus de 10 % en ont ajouté depuis le RGPD. Acrobat Reader et My Photo Keyboard sont les pires élèves, avec les traces de cinq pisteurs dénichés dans la dernière analyse en date.
Ces rapides calculs ne grattent que la surface. En nommant les trackers repérés à chaque analyse, Exodus Privacy permet de voir les montées et baisses de popularité au sein des applications, voire de constater si des liens entre entreprises se sont créés ou rompus depuis le 25 mai.
De même, ces résultats aident à analyser la quantité de permissions demandées, au prix d'un travail supplémentaire.
Un pas vers un plus large public
Il y a un an, la base comptait 375 rapports sur autant d'applications, détectant 44 trackers. Désormais, plus de 42 000 rapports ont été générés sur 37 000 applications, pour 152 pisteurs découverts. Un travail de longue haleine, donc.
Le service a aussi bien évolué, avec l'ouverture aux internautes de la soumission d'applications et du déclenchement d'analyses, et le lancement en avril dernier d'une application mobile pour signaler celles indiscrètes sur l'appareil. Une extension Exodify affiche le nombre de trackers et de permissions demandées sur les fiches web du Google Play Store :
Surtout, l'initiative a montré son intérêt concret. Encore très récemment. Depuis octobre, la Commission nationale informatique et libertés (CNIL) a épinglé publiquement deux entreprises (Singlespot et Vectaury) pour leur géolocalisation invisible des mobinautes, mais a refusé de fournir les noms d'applications intégrant leurs mouchards.
Dans les deux cas, Exodus Privacy présentait une liste de logiciels y faisant référence, comme Allociné, Marmiton, Météo France et Vie De Merde.
Dans un billet de blog, l'équipe tire le bilan de cette première année très chargée en développements et conférences sur ses travaux. Pour l'année à venir, elle compte rendre son message et ses résultats plus accessibles, en traduisant leurs conférences et le site, et en revoyant la présentation des rapports d'analyse.
Lors de la dernière assemblée générale, début octobre, MeTaL_PoU a été élue présidente de l'association qui revendique huit membres actifs. Elle remplace donc Esther (U+039b) qui reste au bureau. Après avoir beaucoup œuvré au projet à ses débuts, elle pense se concentrer sur le projet d'analyse du trafic Internet PiRanhaLysis, pour faciliter l'étude des échanges des smartphones et objets connectés (voir notre entretien sur sa première brique, PiRogue).
Pour Esther, MeTaL_PoU portera cette extension vers le grand public souhaitée par la jeune organisation.
Commentaires (25)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 24/11/2018 à 12h43
L’approche est intéressante.
Reste qu’il faudrait aussi se préoccuper rapidement d’un effet de bord du RGPD qui devient vraiment problématique et que je constate régulièrement depuis la rentrée: certains responsables des traitements font tout pour pousser la responsabilité sur leurs sous-traitants: ces derniers étant parfois totalement dépendant de leurs clients RP, ils se retrouvent à endosser des responsabilités sur le papier alors qu’en pratique ils ne déterminent rien et non aucune marge de manœuvre, choses qu’ils sont obligés d’accepter car économiquement totalement en situation de dépendance.
Le 24/11/2018 à 12h57
Je pensait surtout a Google qui est “sensé” filtré les appli sur leur stores, mais ça serait bien que la CNIL délègue la recherche a des volontaires qui leur prémâcherais leur boulot.
Le 24/11/2018 à 13h05
Alors après enquête de l’appli, les logiciels ayant le + de traqueurs chez moi, ce sont les applis de rencontre.
" />
Même Pokemon Go a moins de traceurs (11 contre 30 en moyenne chez les applis types Grindr), du coup j’ai tout viré.
Le 24/11/2018 à 13h29
Chacun eut déposer une plainte auprès de la CNIL, mais ça ne change rien sur le fond. Pour Google, ce serait “fun” de les voir s’opposer à des solutions de collecte de données
" /> (ne pas oublier que la collecte n’est pas illégale tant qu’elle est faite dans certaines conditions, notamment la récolte du consentement).
Le 24/11/2018 à 19h18
Oui, mais la maison mère reste de toute façon légalement responsable de ce que font les sous-traitants qu’elle a embauchée, non?
Le 24/11/2018 à 21h18
Oui, ils sont assez proactifs, en attendant les 1ères vraies sanctions.
Twitter
" />
Cependant, malgré les promesses des éditeurs de sdk tiers audités et leur assurance que dorénavant leurs clients devaient explicitement obtenir l’accord des utilisateurs et leur consentement explicite préalable, pour tester pas mal d’applis populaires dans l’optique d’alimenter la base de données Exodus Privacy, je n’en ai rencontré encore aucune qui informe dès le 1er lancement des différents traceurs installés, demande l’autorisation détaillée de géolocalisation / ciblage publicitaire, et permet de refuser tout en utilisant l’appli.
Le Monde et L’Équipe (proposant des abonnements payants) ont fini par me répondre que c’était “en cours d’implémentation” - le RGPD est pourtant en vigueur depuis mai et ils ont eu 2 ans pour s’y préparer. La dernière version d’Europe 1 sur Android a supprimé certains trackers, ajoute bien un écran informant du pistage, mais ne propose pas de le désactiver, et pire : avant même qu’on ait cliqué sur “Démarrer”, donc accepté les CGU, NetGuard détecte des connexions vers les éditeurs sdk externes, donc la fuite de données a déjà eu lieu avant même qu’on ait choisi !
Le 25/11/2018 à 01h00
Cette app est devenue ma bible lors de l’installation sur mon android. J’ai supprimé plus de la moitié de mes apps qui soit, n’avaient pas de réel intérêt par rapport à une version web, soit étaient de véritables usines à gaz.
Le 25/11/2018 à 11h33
Le 25/11/2018 à 12h38
Dans Exodus, c’est noté que certains trakers sont peut etre actifs ou
pas …. y aurait il un moyen de savoir si tous les trackers sont
utilisés ?
De plus, a combien de trackers dans la liste peut on dire “il y en a de trop ! ” ??
Le 26/11/2018 à 13h03
Peut-on faire un petit rappel sur ce qu’est un tracker et les problèmes que ça pose?
Je comprends que l’on ne puisse pas tout redire à chaque fois, mais sans cette base, l’article ne me parle pas vraiment.
Quel type de données sont envoyés vers les serveurs tiers? Et surtout pourquoi faire?
J’ai beau être “infophile”, ce n’est pas très clair pour moi.
Enfin quelle est l’incitation derrière tout ça? Si la grande majorité des applis utilisent ces trackers, il doit y avoir un gain évident.
Qu’est-ce que peut bien foutre météo-France avec mes données par ex?
Merci pour le lien qui va bien :)
Le 26/11/2018 à 17h21
https://peertube.tamanoir.foucry.net/videos/watch/cc729c16-a472-4de8-b4e8-abb091…
Le 26/11/2018 à 17h29
http://data.passageenseine.org/2018/exodus-privacy_analyser-comportement-applica…
Le 27/11/2018 à 13h06
Si j’ai bien compris l’exposé des développeurs il y a déjà quelques mois, Exodus Privacy ne fait que repérer quels traqueurs sont présents dans les .apk. Cela ne dit pas s’ils sont utilisés. De fait, certains développeurs ont affirmé en inclure sans les utiliser, ce que je veux bien croire (c’était notamment le cas dans une app orientée vie privée, dont les développeurs ont fini par retirer les traqueurs pour être transparents).
Je suis moins sûr de ce point, mais a priori il faudrait décompiler pour savoir si le programme fait effectivement appel aux traqueurs, et ça c’est illégal.
Le 27/11/2018 à 13h17
Merci pour les liens Radithor.
@JFP285 : quel intérêt concret y’a t-il à garder des références à des modules externes que tu n’utilise pas?
Le 27/11/2018 à 13h55
Effectivement, la décompilation fait partie des méthodes permettant de déterminer si un traqueur est inactif. La décompilation n’est pas une solution légale pour Exodus Privacy. L’autre solution permettant de constater l’activité d’un traqueur est d’analyser les communications réseau entre une applications et des serveurs distants, c’est l’un des objectifs du projet https://piranhalysis.github.io/.
Il est important de noter que certaines applications embarquent certains traqueurs qui seront activés ou non en fonction de campagnes marketing. Ainsi, aujourd’hui un traqueur peut être inactif et être activé demain.
Le 27/11/2018 à 13h57
Voilà, c’est exactement ça, comme dit en début d’actu sur le fonctionnement du système. Pour repérer l’activité effective des mouchards, Exodus avait dans l’idée de faire tourner des applications 80 secondes dans des émulateurs pour voir quelles données entrent et sortent, ce qui reste légal, contrairement à la rétroingénierie. Mais je ne sais pas où ça en est à part le nouveau projet d’Esther. Ce n’est pas appliqué systématiquement en tous cas.
Edit : correction de ma bêtise
Le 27/11/2018 à 14h04
εxodus n’exécute plus les applications durant 80 secondes pour les raisons suivantes :
En bref, εxodus ne fait plus d’analyse d’activités réseau.
Le 27/11/2018 à 14h06
Arf pardon, j’ai corrigé le com’. :)
Le 27/11/2018 à 14h16
Question peut-être bête, mais est-ce possible de le faire faire aux utilisateurs eux-mêmes ? Leur donner le programme pour qu’ils l’exécutent pendant une utilisation normale de l’application à tester ?
Le 27/11/2018 à 14h23
Au temps pour moi, j’étais passé à côté du lien vers https://piranhalysis.github.io/
Le 29/11/2018 à 14h15
Aller hop je tej allo-ciné, je passerai par le site maintenant…
Le 24/11/2018 à 11h11
Merci pour l’appli, je l’installe et je vire les trucs qui posent problèmes.
Le 24/11/2018 à 11h30
assez comique de voir l’inutilité des loi car les gens sensé la faire respecté ne font rien
Le 24/11/2018 à 12h04
Il ne faut pas confondre ne rien faire et le fait que ces enquêtes / procédures prennent du temps. On peut considérer que ça en prend toujours trop, mais pas ne dire que la CNIL ne fait rien en la matière.
Le 24/11/2018 à 12h12
Où l’on se rend compte surtout que de taper sur les GAFA/M ne veut rien dire, déjà l’acronyme est bidon et en plus ce ne sont pas le pires si on s’en réfère à l’article.
Lors des formations que je prodigue en entreprise sur la bonne hygiène numérique et la self-défense je parle de mindgeek, premier fournisseur de webporno dans le monde, qui revendique (vrai ou faux difficile à dire) avoir vu passer au moins une fois chaque internautes masculins du monde et qui n’ont absolument aucuns scrupules sur la gestion et la monétisation des données.
Reste que c’est une super initiative qu’il faut soutenir.