AccuWeather revoit son application iOS, trop curieuse sur la localisation
Et personne ne le savait
Le 25 août 2017 à 07h44
3 min
Internet
Internet
L'application météo AccuWeather pour iOS a fourni des données de localisation à une société tierce, Reveal Mobile, spécialisée dans leur utilisation commerciale. Même une fois la géolocalisation coupée, le service pouvait s'appuyer sur les réseaux Wi-Fi pour trouver l'emplacement de l'utilisateur. Ce qu'elle nie avoir effectué.
AccuWeather sort le parapluie. Le service de météo a commis quelques imprudences avec les données de ses clients, via son partenariat avec Reveal Mobile, qui exploite la géolocalisation des mobinautes à des fins commerciales. Le 22 août, le chercheur en sécurité Will Strafach accusait l'entreprise d'intégrer à son application un SDK capable de situer l'utilisateur grâce aux informations des réseaux Wi-Fi (nom et BSSID) auquel l'appareil est connecté.
Ces données s'ajoutent à la géolocalisation GPS classique (dont la vitesse et l'altitude) et l'état du Bluetooth (activé ou non). Reveal Mobile promet à ses partenaires de générer des revenus sans publicité. « La valeur tient dans la compréhension du parcours du consommateur et où ils vont au fil de la journée. Voyager de la maison au travail, au magasin, à l'entrainement de football puis au restaurant est vital pour connaître le client et représente une nouvelle opportunité de la géolocalisation mobile » écrit-elle sur son site.
Des données non-exploitées, mais le SDK retravaillé
Dans un communiqué, AccuWeather a d'abord répondu que les accusations étaient exagérées. L'entreprise rappelle que les données GPS ne sont pas fournies si la permission de géolocalisation est refusée à l'application et affirme que les informations sur les réseaux Wi-Fi ne sont pas utilisées. Elle admet tout de même qu'elles ont bien été transmises à Reveal Mobile « sur une courte période »... sans être pour autant exploitées, déclare-t-elle.
Dans un second communiqué publié le lendemain, le service météo dit avoir supprimé le SDK de Reveal Mobile de son application, pour la réintégrer quand elle respectera certaines obligations. « Reveal a déclaré que le SDK pouvait être mal compris, et il assure qu'aucune rétroingénierie des lieux visités n'a jamais été effectuée sur les informations rassemblées. Cela n'a jamais été son intention » tente de rassurer la société.
Une transparence toujours difficile
Le cas d'AccuWeather n'est qu'un épisode de plus dans la longue saga des entreprises qui collectent des données sans que l'utilisateur ne le sache. La société elle-même ignorait la récupération d'informations sur les réseaux Wi-Fi. Pourtant, dans ses deux communiqués, elle se targue de respecter la vie privée de ses utilisateurs, et d'importants efforts de transparence, qui n'ont pas payé ici.
En avril, c'était le service Unroll.Me, qui propose de nettoyer les boites e-mail des internautes, qui avait connu la tourmente. Le service gratuit avait revendu à Uber des informations liées au contenu agrégé des boites de ses utilisateurs, sans leur en avertir explicitement. De quoi agacer une partie d'entre eux, même si la commercialisation des données doit devenir bien plus cadrée dans l'Union européenne à partir de mai prochain, avec l'application du Règlement général de protection des données (RGPD), pour lequel nombre d'entreprises ne sont pas encore prêtes.
AccuWeather revoit son application iOS, trop curieuse sur la localisation
-
Des données non-exploitées, mais le SDK retravaillé
-
Une transparence toujours difficile
Commentaires (28)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 25/08/2017 à 08h02
Vous êtes de mauvaises langues.
C’est pour assurer de meilleures prévisions en fonction des microclimats locaux
Le 25/08/2017 à 08h05
Vos confrères de Numerama ont sorti hier un excellent article sur les pratiques de Teemo qui propose un “SDK-cheval de Troie” utilisé par de nombreuses applications (Figaro, Equipe, Météo-France…) :http://www.numerama.com/politique/282934-enquete-comment-les-apps-figaro-lequipe…
Le 25/08/2017 à 08h16
Excellent article avec de nombreuses erreurs…
Le 25/08/2017 à 08h17
Le 25/08/2017 à 08h18
J’en entendu parle de ça à la radio ce matin, et je suis allé lire l’article (en diagonale). Seulement ils ne publient pas la liste de ces fameuses 50 applications, ce qui a le don de m’exaspérer. D’un côté on veut alerter, mais de l’autre on n’en dit pas trop non plus. Je souhaite prendre connaissance de cette liste afin de désinstaller ces applications si j’en ai une sur mon smartphone : je fais comment ?
Autre question : comment fait-on pour obtenir la liste des applications / services qui tournent en arrière plan, même quand on les ferme de force via le gestionnaire d’applications actives ?
Le 25/08/2017 à 08h19
Le 25/08/2017 à 08h30
Ils ne publient pas la liste car ils ne l’ont pas. Il s’agit là de confidentialité commerciale entre Teemo et ses clients.
Le 25/08/2017 à 08h50
En attendant que ce soit intégré à des applis de sécurité (Addons Detector sur Android est en train de regarder par exemple), une méthode manuelle :
Twitter@Cellular : quelles erreurs, tu peux détailler un peu ?
Le 25/08/2017 à 09h12
Sur Android ou sur iOS ?
Sur iOS si l’appli est fermée manuellement (ou crash) plus rien ne peux tourner en tâche de fond pour cette dernière. D’ailleurs Apple limite à 30 minutes d’utilisation de CPU les requêtes en tâche de fond. Donc si tu ne te sers pas souvent de ton appli au bout d’un moment elle n’aura plus le droit de faire des trucs en tâche de fond (aussi bien positif comme du refresh de contenu, que negatifs comme du tracking). D’ailleurs le “toutes les 3 minutes” du coup est erronée, car c’est le scheduleur d’Apple qui décide de quand une requête en tâche de fond est exécuté.
Sur Android c’est beaucoup plus relou car une appli peut tout à fait faire une tâche récursive dans le gestionnaire de tâche. Car il n’y pas de notion de “background” sur cette OS (une gestion par activity seulement). Du coup tu dois chercher process par process ceux à kill, un peu comme à l’ancienne sur windows ^^
Le 25/08/2017 à 09h19
Pour ceux qui ont un smartphone Android rooté : installer AdAway https://adaway.org/) via F-Droid et rajouter “databerries.com” dans la liste noire.
Le 25/08/2017 à 09h26
Le 25/08/2017 à 09h38
C’est annexe, mais sauf erreur, la prochaine version iOS 11 va affiner l’accès au GPS et on pourra demander à ce que l’application n’y accède que quand l’application est lancée.
Cela va réduire les mouchard comme Waze qui demande l’accès au GPS et l’utilise en continue.
J’ignore si il y a quelques choses de similaire pour le Wifi ou le Bluetooth
Le 25/08/2017 à 09h51
PI
http://www.numerama.com/politique/283693-les-inconnues-du-dossier-teemo-quelques…
Le 25/08/2017 à 11h23
Oui mais le rédacteur de Numérama a bien mis la main dessus puisqu’il en a fait un article. Et il n’est pas un client de la société que je sache
Le 25/08/2017 à 11h24
Tu peux détailler un peu la méthode ? Je suis incapable de comprendre l’organisation d’une page twitter, et le lien proposé ne semble pas fonctionner.
Le 25/08/2017 à 11h25
Sur Android pardon. non rooté je précise.
Le 25/08/2017 à 11h42
Sur Android Google Play, installe Addons Detector, ils viennent de l’intégrer à leur database, une fois mise à jour et scannée, tu peux trouver dans les extensions, c’est dans le filtre “Analyses” : il faut regarder appli par appli s’il y a le nom Teemo, si oui (ex. L’Équipe), elle est concernée…
Le 25/08/2017 à 11h49
" /> une application (hors appli du système) qui peut aller fouiner dans les autres applications " /> Je croyais que c’était impossible sans root/jailbreak grâce à tout un tas de mécanismes d’isolation/sandbox de chaque appli " />
Bon, je teste de suite
Le 25/08/2017 à 11h54
Bon ok, alors j’ai “AlloCiné” et “La Chaîne Météo” concernées sur mon appareil. Enfin j’avais, elles n’y sont désormais plus.
Et parmi la quantité d’autres extensions, comment puis-je me renseigner sur leurs rôles afin d’être capable de déterminer par moi-même ce que je souhaite conserver ou non sur mon appareil ?
Le 25/08/2017 à 12h04
C’est compliqué, entre les pubs, le tracking / géolocalisation, les données analytiques, les crash reports… à chacun de voir ce qu’il veut ou non partager et avec quel éditeur, en échange d’une appli (gratuite ou pas, certaines payantes enlèvent des annonces, d’autres non).
Après sur un smartphone rooté on a plus de marge, Android 8 va aussi encore affiner les autorisations données.
Le 25/08/2017 à 15h35
Le 25/08/2017 à 16h00
Android 8 sera plus souvent mis à jour par les opétateurs/constructeurs car ils ont grosso modo séparé les fonctions bas niveau des autre. ça sera moins long pour ces derniers d’adopter les modifs de Google :)
Le 25/08/2017 à 16h31
On nous l’a fait à chaque fois celle là, pourquoi les constructeurs feraient la maj quand ils peuvent te la vendre avec leur nouveau flagship de la mort a 700balles :/
Pour en revenir à la news, apparemment zero apps touchées pour ma part, de toute façon je préfère consulter le site Web mobile directement plutôt que d’avoir une app pour chaque site.
Le 26/08/2017 à 15h09
Ca donne envie quand même de leur faire subir un bon cassage de gueule à ces enflures, non ?
Le 28/08/2017 à 09h00
C’est vrai, mais cette fois si j’ai un peu plus confiance :)
Enfin, après on verra bien ce qu’il en est.
Le 28/08/2017 à 10h08
Mais c’est déjà le cas depuis iOS 9 non ?
Quand je vais dans les paramètres de localisations des applications, j’ai bien le choix Jamais/Lorsque l’app est active/Toujours. Par exemple Waze, les 3 options sont disponibles.
Après les options ne sont pas identiques pour toutes les apps, c’est peut être ça la nouveauté ?
Le 28/08/2017 à 10h46
En effet, c’est le cas sur iOS 9 mais je demande si ce n’est pas venu dans une màJ récente, je n’avais pas vu ce triple choix il y a quelques mois.
A moins que Waze a mis à jour son application et propose maintenant ce triple choix.
Le 28/08/2017 à 13h58
Je crois que Waze a effectivement fais une mise à jour, car la localisation était toujours active à cause de l’option “suivi de position” (qui était désactivable) même quand l’app était fermée.
D’ailleurs cette option a disparu, ou alors elle est bien cachée.