Une étude menée sur plusieurs milliers d'applications Android pour enfants montre qu'un grand nombre d'entre elles sont susceptibles de pister et de récupérer des renseignements personnels sur ces jeunes utilisateurs. Plusieurs de ces pratiques pourraient être illicites, notamment au regard de la loi américaine.

Vous êtes du genre à laisser votre enfant utiliser votre smartphone pour l’occuper de temps en temps ? Prenez garde aux applications que vous installez, même celles qui s’adressent spécifiquement aux plus jeunes.Une récente étude montre en effet que des milliers d’applications ne sont pas toujours d’une rigueur exemplaire lorsqu’il s’agit de respecter la vie privée des mobinautes.

Signalé par le site Education Week, ce travail a consisté à analyser automatiquement 5 855 applications mobiles gratuites populaires chez les enfants et de déterminer si elles sont conformes avec la loi COPPA (Children’s Online Privacy Protection Act). Cette loi américaine restreint la collecte, le traitement et le stockage des données fournies par l’enfant quand celui-ci a moins de 13 ans, et qui requiert un feu vert parental.

Résultat ? « Nous avons constaté qu’une majorité d’entre elles sont potentiellement en violation de la COPPA, surtout en raison de l’utilisation de kits de développement (SDK) de tiers », écrivent les auteurs de l’étude. Parmi les applications passées au crible figurent Fun Kid Racing, Where’s My Water ? de Disney, Pop Girls-High School Band de TabTale, Duolingo ou encore Minion Rush de Gameloft.

enfant-smartphone-telephone-bebe
CC Balazs Koren

Indiscrétion des applications

« Bien que beaucoup de ces SDK offrent des options de configuration pour respecter la COPPA en désactivant le pistage et la publicité comportementale, nos données suggèrent que la majorité des applications n’utilisent pas ces options ou les propagent de manière incorrecte à travers les SDK », commente l’étude. Et dans quelques cas, cela se fait en violation des règles des SDK.

« Dans 19 % des cas, des applications recueillent des identifiants ou d’autres informations personnelles identifiables via des SDK dont les conditions de service interdisent clairement leur utilisation dans les applications destinées aux enfants ».

Les indiscrétions de ces applications mobiles sont d’une gravité variable et tous les cas passés en revue ne sont pas en faute pour chaque infraction constatée.

Cela va de la géolocalisation du terminal sans aucune sécurisation du transfert de l’information aux serveurs, à la transmission du nom du routeur Wi-Fi, en passant par l’adresse Mac, qui est un identifiant unique, à la récupération de l’adresse e-mail ou bien du numéro de téléphone. En fin de compte, une majorité des applications passées en revue pose problème.

« Nous avons relevé plusieurs violations et tendances préoccupantes »

« Sur ces 5 855 applications, 28 % ont accédé à des données sensibles protégées par des permissions Android. Nous avons également observé que 73 % des applications testées transmettaient des données sensibles sur Internet », peut-on lire dans le rapport. Mais ce n’est pas tout : les chercheurs ont aussi « relevé plusieurs violations et tendances préoccupantes » au cours de leur enquête :

Violations manifestes lorsque des applications partagent des renseignements personnels sans consentement (4,8 %), partage de données personnelles sans appliquer des mesures de sécurité raisonnables (40 %), non-conformité potentielle en partageant des identifiants pérennes avec des tiers à des fins interdites (18,8 %) et ignorance ou mépris des obligations contractuelles visant à protéger la vie privée des enfants (39 %).

« Dans l’ensemble, environ 57 % des 5 855 applications destinées aux enfants que nous avons analysées violent potentiellement la COPPA », observent-ils.

L’étude s’étant focalisée sur des applications Android, les chercheurs ont aussi analysé les efforts de Google pour limiter le suivi par l’utilisation d’un identifiant publicitaire unique que l’usager peut réinitialiser (resettable advertising ID). Verdict ? Ceux-ci « ont un effet limité ». Sur les 3 454 applications partageant cette donnée avec les annonceurs, 66 % transmettent aussi d’autres identifiants persistants, non-réinitialisables, « niant toute disposition visant la préservation de la vie privée de l’identifiant publicitaire ».

Enfant tablette
CC Devon Christopher Adams

Vérification du consentement

Pour autant, ses auteurs ne disent pas que ces applications sont forcément en violation de la loi COPPA, mais que le consentement parental n’est pas vérifiable.

« Bien que le fait d’accéder à une ressource sensible ou de la partager sur Internet ne signifie pas nécessairement qu’une application est en violation de la COPPA, aucune de ces applications n’a obtenu un consentement parental vérifiable. Cela donne à penser que de nombreuses violations potentielles sont susceptibles de se produire », écrivent-ils.

En la matière, c’est notamment à l’agence américaine spécialisée dans le droit de la consommation (Federal Trade Commission) qu’il revient de se prononcer sur la licéité des applications au regard de COPPA. En 2011, la FTC s’était par exemple penchée sur les autorisations réclamées au moment de l’installation par des applications s’adressant aux mineurs. Il était alors apparu que les demandes indiscrètes étaient plus nombreuses qu’avant.

Partager sur les réseaux sociaux