Selon une étude de l’ICSI (International Computer Science Institute), environ 17 000 applications Android violeraient les conditions d’utilisation de la boutique Google Play pour cibler plus efficacement les utilisateurs.
Au lieu de se contenter du seul Advertising ID, ces applications s’abreuvent d’autres informations identifiantes : adresse MAC, IMEI et Android ID. Or, ces données ne peuvent pas être modifiées, ou très difficilement. Ensemble, elles constituent un redoutable moyen d’identification.
Comme le rapporte CNET, l’ICSI a transmis le résultat de ses recherches à Google, qui dit prendre le sujet très au sérieux. Des actions auraient déjà été entreprises contre certaines applications, mais on ne connait pas la portée de ces représailles.
L’éditeur confirme que des conditions d’utilisation sont bien violées par ces applications, mais sans dire lesquelles. Il est peu probable malheureusement que Google puisse rétablir la « justice » sans modifier profondément le fonctionnement de sa boutique.
Les développeurs ont en effet le droit d’utiliser l’adresse MAC, l’IMEI et le reste pour des raisons spécifiques, mais pas pour le ciblage publicitaire. Problème, Google ne peut vérifier cette bonne pratique que s’ils passent par son propre réseau publicitaire. Si les applications s’adressent à une autre crèmerie, il n'y a rien à faire.
Certaines des applications sont connues, mais ont été mises à jour entre temps. Cheetah Mobile par exemple, éditeur de Cheetah Keyboard et Mobile Doctor, ne se servirait de l’Android ID que pour le seul suivi du nombre d’installations. Mobile Doctor a par ailleurs été mis à jour en 2018 pour ne plus capter l’IMEI.
Le fait est que les résultats obtenus par l’ICSI ne font que braquer un peu plus les projecteurs sur un problème plus global : les activités secrètes des applications mobiles par manque de surveillance.
Apple a récemment eu le problème avec les fameux certificats d’entreprise, que des développeurs n’hésitaient pas à utiliser pour récupérer des données personnelles. Microsoft n’est pas épargnée, avec plusieurs PWA de son Store contenant des cryptominers, d’après des recherches de Symantec.
Les grandes plateformes n’ont donc pas le choix : elles doivent resserrer le contrôle et prendre des mesures plus radicales en cas de contournement ou violation. La peur de voir le nombre d’applications baisser sur une boutique n’est plus un argument depuis longtemps.
Commentaires (26)
#1
Sale histoire :/
Nombre de jeux les plus connus sont dans la liste, une part effrayante des utilisateurs doit être concernée
#2
C’est bien de prévenir les gens, mais ça serait encore mieux si on avait la liste des appli concernées non ?
A mois que j’ai raté le lien quelque part ?
#3
LA LISTE !
" />
" />
J’ai fais le ménage sur mon tel, mais je peux faire + !
#4
Ha ha ! Mort de rire… Compter sur les conditions d’utilisation pour faire respecter la vie privée des gens…
Google a pas assez de tune pour construire des sas commerciaux et techniques afin d’éviter ce genre de conneries ? Ou bien ils s’en foutent totalement ?
#5
Le premier lien de l’article donne une liste de 20 applications. Je n’ai pas trouvé les 16980 applications restantes, mais j’ai lu en diagonale.
#6
Dire qu’il suffirait au législateur d’interdire complètement l’accès aux données personnelles pour régler le problème
#7
#8
Si tu as une réclamation à formuler, tu peux l’envoyer à M.Rees. Il se fera un plaisir de la jeter sans la lire
" />
#9
Une liste de 20 apps est dans l’article lié, mais les auteurs n’ont pas rendu publique la liste complète.
" />
#10
Interdire l’usage de ce genre de tracking au tout venant via l’API Android et émettre des certificats autorisant ces usages à des partenaires commerciaux qui ont mérité d’être certifiés.
#11
Donc interdire carrément l’accès à l’adresse MAC sauf si on montre patte blanche à Google ? Et comment Google pourrait-il anticiper la bonne foi des partenaires ? En tant que petit développeur, je doute que Google m’autoriserait si facilement même si je fais une autorisation légitime de cette API.
Pourtant, Android est un système libre qui doit pouvoir fonctionner sans que Google s’en mêle, d’autant que Google Play Store n’est pas la seule boutique d’applications…
ÉDIT : au passage, accéder à l’adresse MAC existe déjà une permission au niveau de l’application. Aux utilisateurs de faire attention à ce qu’ils installent aussi…
#12
Ouep et sous les autres OS (y compris PC) il n’y a pas de malware ou d’application pourrie bien sur ^^”
Faudrait un renforcement généralisé du système de permission (tout OS confondu) au niveau utilisateur.
#13
Android peut évoluer au même titre que les conditions d’utilisation du Google Play Store. Rien n’est gravé dans le marbre. Parenthèse fermée.
Pour l’adresse MAC j’suis d’accord c’est compliqué au titre de la gestion réseau. Pour le reste j’verrais pas de soucis à fermer le robinet. Le soucis c’est surtout la facilitation de l’obtention combinée de l’IMEI et de l’Android ID.
Sinon Google peut se fendre un scan des applications proposées sur le Play Store, à grand renforts d’IA, afin de détecter des usages abusif des identifiants.
P.S. : Moi j’suis qu’un péquin devant son PC. C’est pas à moi de demander ou d’exiger ce qu’il faut faire. Envoie plutôt un mail à Google. Là j’suis au taff, j’balance des “solutions” un peu au pif…
#14
Pour l’adresse MAC, quel est l’intitulé de la permission demandée ?
“Plein accès au réseau” ? “Afficher les connexions au réseau” ?
J’vois ça pour un de mes jeux. Y’a quand même un problème si c’est ça, c’est que t’as un package de permission trop conséquent et bien mal présenté. Un petit badge “autorisation sensible pour votre vie privée” ferait pas de mal.
#15
#16
Aucune appli du top20 sur mon phone mais je dois sûrement en avoir une ou deux des 16980 restantes.
" />
#17
Déjà que la plupart des utilisateurs d’ordiphone ne sait pas ce qu’est Android…
#18
Android et pistage sont les 2 mamelles du modèle d’affaire de Gogol alias Big Data compilator.
NB: m’en vais faire un don à Exodus Privacy et à Thinkerview.
#19
Vrai : “ah mais moi j’ai Samsung”
" />
#20
#21
Je ne sais plus par cœur, mais les permissions s’affinent justement de versions en versions, à cause de ces abus, sans oublier d’autres mécanismes. En fait, on peut déjà dire que l’API se “ferme” de plus en plus (ou, du moins, que certaines fonctions aisément “détournables” de leur but premier deviennent moins faciles à exploiter dans le mauvais sens, surtout discrètement).
ÉDIT : concernant l’adresse MAC, avant c’était dans le très générique “ACCESS_WIFI_STATE”. Depuis Android 6, l’accès à l’adresse MAC demande la permission “ACCESS_FINE_LOCATION” ou “ACCESS_COARSE_LOCATION”, sans quoi c’est 02:00:00:00:00:00 qui est systématiquement retournée.
#22
#23
Ouais y’a du mieux au fur et à mesure mais tu vois l’acceptation des autorisations à l’unité, je ne comprends pas qu’il ai fallu attendre Android M (N ?! L ?! J’suis paumé…). Ça aurait dû être fait dès le début. Moi ce que je comprends c’est que ce n’était pas dans l’intérêt de Google de développer ces aspects sensibilisant aux usages que les éditeurs peuvent faire d’un smartphone, à des fins de collecte de données.
Et là j’rigole parce qu’on peut pas s’étonner du fait que certains ne respectent pas les CGU x)
#24
j’ai bloqué 2 bonnes minutes sur l’illustration où je prenais le sparadrap pour un doigt coupé
" />
(rien de plus à dire qui n’ait déjà été dit)
#25
#26
Exactement.. Comme un carnet d’adresse vide par défaut, une position random etc, ça n’empêcherait pas le fonctionnement de l’application. Avec les permissions t’as des applis qui refusent de démarrer alors qu’elles n’ont légitimement pas besoin des ces accès.