Le 24 novembre, la plateforme Exodus a été mise en ligne (voir notre entretien). Elle révèle une partie des trackers présents dans plus de 300 applications. Parmi elles, celle du moteur de recherche français Qwant, au marketing centré sur le respect de la vie privée.
Las, elle contenait les outils de Crashlytics, DoubleClick (régie publicitaire de Google) et Schibsted. Une nouvelle version expurgée de ces éléments a été publiée en quelques heures. Il en a été de même sous iOS. Le code source est désormais disponible sur GitHub.
« Nous avons rapidement déterminé que ces trackers ont été ajoutés en secret par des services tiers accessibles dans des zones accessoires de l'application » écrit l'entreprise dans un billet de blog. Ils auraient été ajoutés après la version initiale, lancée en janvier. À l'époque, Qwant nous assurait avoir mené un audit interne de la partie navigateur.
Suite à cet incident, l'entreprise promet de soutenir financièrement le projet Exodus, dans des conditions qui n'ont pas encore été déterminées.
Commentaires (17)
#1
Cela leur fait une très mauvaise publicité. Leur credo est de protéger notre vie privée, et ils ne voient pas que leur appli contient ce genre de code, même après un audit interne ?
" />
Cette histoire fait très mal à la confiance qu’on pouvait leur accorder…
#2
Dans l’autre sens ils font aussi un super boulot, il réagissent vite et de manière claire, transparente et efficace.
Franchement, ma confiance reste au top :) quand on voit le nombre de module tiers d’une appli on peut largement imaginer ce type de scénario
#3
#4
Vu que même les applis qui font des efforts ont des trackers, comment ce doit être pour les applis pleines de pub vidéo pour gagner 3 po? La question la plus importante pour moi c’est donc: existe-t’il une appli qui nettoie/bloque ces trackers (à la Ghostery sur firefox)? Parce que si c’est non, on a donc forcément un tracker quelque part, et le seul moyen d’y échapper serait de jeter son smartphone.
#5
Bonne réaction de la part de Qwant. Ils ont raison de vouloir soutenir financièrement le projet Exodus (en espérant qu’ils le fassent réellement à suivre) Il n’y a que les initiatives du type d’Exodus qui permettront aux utilisateurs soucieux de leur vie privée de rester vigilant.
#6
Faute avouée est à moitié pardonnée.
" />
Reste l’autre moitié
#7
Sous android tu peux aller regarder du cote de blokada (par f-droid). Il ‘est pas encore parfait et par moment je dois le desactiver pour les maj du store google, mais il fait son taf et pas besoin de rooter son telephone .
#8
S’ils ne maîtrisent même pas le code intégré à leur application, ils découvriront peut être qu’un autre module quelque part fuitait encore d’autres données personnelles…
Autant j’aime bien l’idée d’une alternative à Google, autant laisser passer des régies publicitaires dans sa propre appli alors que c’est sa raison d’être, ça me dépasse un peu…
#9
très bonne question. un DNS blocker peut déjà faire une partie du boulot, j’imagine. (mais sur téléphone rooté)
#10
#11
je connaissais pas, ça a l’air sympa.
seulement ça utilise un VPN local pour faire le filtrage sans être rooté, et donc c’est inutilisable si on a besoin d’un “vrai” VPN… il faudrait aussi voir l’utilisation de la batterie.
#12
En effet pour le vpn.
Pour la conso, ça reste sobre (par exemple sur mon téléphone que j’ai pas mal utilisé aujourd’hui, blokada m’a mangé que 1% de batterie).
#13
A mourrir de rire cette histoire, est ce que quelqu’un s’est donné la peine de comprendre ce que fait Exodus ?
https://github.com/Exodus-Privacy/exodus/blob/a8576945c6a6bb4a347c7be503dcc05b1b…
Un simple “grep” sur des mots clés !
Qwant utilisant (comme beaucoup d’applications Android), le vieux projet https://crosswalk-project.org/ (qui est abandonné d’ailleurs …. dommage pour eux ^^) on retrouve donc:
https://github.com/crosswalk-project/chromium-crosswalk/search?utf8=%E2%9C%93&am…
Et voila! CQFD, merci à tous, leçon à prendre “quand vous faites un article, au lieu d’un simple copier/coller, essayez d’investiguer”. (je pensais que c’était ça le métier de journaliste …..)
#14
En fait, il semblerait qu’il n’y ai jamais eu de tracker dans Qwant.
https://blog.qwant.com/exodus-privacy-result-of-our-investigation-regarding-repo…
Faux positif tout simplement…
#15
OK merci pour l’info.
" />
#16
#17
En local, sur une machine linux, en virtual OS ou sur Raspberry Pi, il y a Pi-Hole. Avec les filtres µBlock Origin, il devient ton serveur DNS.
[EDIT] : c’est d’ailleurs une des meilleures méthodes pour bloquer les mouchards de W10, qui sont codés en dur et qui by-pass le fichiers host.