Alors qu'ils cherchaient à savoir si votre smartphone vous écoutait en secret, des scientifiques ont fait une autre découverte : certaines applications enregistrent tout ce que vous faites et l'envoient à des tiers.

La science est toujours pleine de surprise. En menant une expérience sur des smartphones afin de savoir à quel point les applications pouvaient utiliser les micros en secret, le groupe de recherche en sciences de l’informatique de la Northeastern University de Boston est tombé sur une autre pratique tout à fait dérangeante. Certaines applications envoient en effet des captures d’écran vidéo de ce qu’une personne fait quand il les utilise. Alors certes, rien n’a montré que les smartphones vous écoutaient en secret, mais s’ils envoient tout de même tout ce que vous faites à des tiers, ce n’est pas plus rassurant.

Ce comportement a été repéré notamment sur une application américaine nommée GoPuff, sorte de Deliveroo pour la malbouffe, qui n’hésite pas à envoyer de courts enregistrements vidéo de l’écran via le logiciel (SDK) d’une entreprise nommée AppSee — qui revendique des clients comme Samsung, Moovit ou eBay. Cela ne devrait pas étonner les développeurs dans la mesure où AppSee propose exactement ce que les chercheurs décrivent : envoyer des données sur le comportement des utilisateurs sur une application. La justification d’AppSee n’est pas publicitaire : ils prétendent que leurs outils d’analyse peuvent aider un développeur à comprendre pourquoi un utilisateur ne passe pas une commande, arrête la création de son compte à telle ou telle étape, etc.

AppSee, des promesses transparentes

Pas vu, pas pris

Gizmodo, qui a pu contacter les services américains concernés, a reçu une réponse somme toute standard quand on se fait prendre la main dans le sac : un responsable d’AppSee a estimé que son client GoPuff ne respectait pas le contrat d’utilisation de son SDK. Il aurait dû en effet dire à ses utilisateurs que ce type de données pouvait être extrait. Après la publication des travaux de recherche, GoPuff a estimé préférable de désactiver complètement AppSee de son application. Une réaction qui ressemble à celle des éditeurs lors de l’affaire Teemo révélée par Numerama : « pas vu, pas pris », puis dès que l’information est diffusée, on arrête et on s’excuse.

Cela dit, cette affaire va plus loin, dans la mesure où ces services sont aussi en violation des règles du Google Play, qui stipulent que toute utilisation des données doit être communiquée à l’utilisateur. Google a déjà réagi en faisant un audit des applications utilisant AppSee, pour s’apercevoir que certaines fonctionnalités n’étaient effectivement pas conformes. Le géant de Mountain View est en train de « travailler avec les développeurs » pour que tout rentre dans l’ordre.

Document de Teemo illustrant son activité de display pour des annonceurs

Reste qu’on ne peut s’empêcher de voir plusieurs failles qui laissent songeur :

  • Des applications peuvent utiliser un SDK qui enregistre et partage tout ce que fait un utilisateur à l’écran ;
  • Ces applications ne disent pas du tout qu’elles effectuent ces tâches ;
  • L’éditeur du SDK peut prétendre ne pas savoir que ses clients ne sont pas dans les règles ;
  • Google est incapable de surveiller suffisamment les applications sur le Google Play pour supprimer celles qui ne respectent pas ses règles.

Ces quatre points nous indiquent une chose : si deux acteurs ont été pincés, combien d’autres sont encore dans la nature, camouflés dans le code des applications, attendant d’être paisiblement d’être trouvés sans craindre quoi que ce soit ? En France, les débusquer est précisément le rôle du collectif Exodus Privacy. Mais la tâche est complexe et les SDK se renouvellent découverte après découverte…

Partager sur les réseaux sociaux