Vous pensiez que vos données étaient bien gardées sur votre smartphone Android et que jamais Google ne se livrerait à des indiscrétions ? Et bien, vous aviez tort. Un chercheur en informatique du Trinity College de Dublin a découvert que le géant de Mountain View utilise les applications Téléphone et Messages d'Android pour récupérer des données importantes… sans accord de l'utilisateur et en toute discrétion.
Google risque de buter une nouvelle fois sur les lois européennes en matière de protection des données. The Register nous rapporte cette semaine que les applications Téléphone et Messages d'Android collectent et envoient des données à Google, sans en avertir l'utilisateur ou lui demander son consentement préalable. Ce partage de données se fait par ailleurs sans qu'il soit permis à l'utilisateur de le désactiver, par le biais d'un réglage par exemple.
Android filoute avec vos appels et SMS
Ces informations proviennent de travaux menés par le professeur Douglas Leith, chercheur en informatique au sein du prestigieux Trinity College de Dublin. Sobrement intitulée Quelles données les applications Google Dialer et Messages sur Android envoient-elles à Google ?, son étude révèle qu'au travers des applications Google Téléphone et Google Messages, des données relatives aux communications des utilisateurs ont été transmises aux services Play Services Clearcut et Firebase Analytics de Google.
Douglas Leith en dit plus sur la nature des données partagées vers les services internes de Google. On apprend qu'elles comprennent notamment « un hachage de texte du message, ce qui permet de relier l'expéditeur et le destinataire dans un échange de SMS », tandis que celles provenant de l'application Téléphone « comprennent l'heure et la durée de l'appel, ce qui permet de relier les deux appareils engagés dans un appel téléphonique ». « Les numéros de téléphone sont également envoyés à Google », ajoute le chercheur.
Pour rappel, les applications Messages et Téléphones sont installées par défaut sur l'ensemble des appareils Google Pixel, mais aussi sur la plupart des mobiles Android récents. Il s'agit donc dans les deux cas d'applications largement répandues… et aucune des deux n'explique clairement quelles données sont collectées en les utilisant.
Ces deux applications émanant de Google n'appliquent donc pas les règles que Google impose pourtant aux applications provenant de développeurs tiers.
Google admet, et assure vouloir arranger les choses
Contacté par The Register à propos de ces découvertes, Google a indiqué que les informations partagées par Douglas Leith étaient justes. « Nous accueillons les partenariats - et les réactions - des universitaires et des chercheurs, y compris ceux du Trinity College », a indiqué un porte-parole du groupe. « Nous avons travaillé de manière constructive avec cette équipe pour répondre à ses commentaires, et nous continuerons à le faire », a-t-il ajouté.
Douglas Leith se montre toutefois assez circonspect sur les modifications que Google se propose d'apporter. « Ils promettent d'introduire une option dans l'application Messages pour permettre aux utilisateurs de refuser la collecte de données, mais que cette option ne couvrira pas les données que Google considère comme "essentielles", c'est-à-dire qu'ils continueront à collecter certaines données même si les utilisateurs refusent », explique-t-il.
« Dans mes tests, j'avais déjà choisi de ne pas accepter la collecte de données pour Google, en désactivant l'option "Utilisation et diagnostics" dans les paramètres de l'appareil, et les données que j'ai communiquées étaient donc déjà considérées comme essentielles par Google. »
Autre motif d'inquiétude pour le chercheur : l'anonymisation de ces données collectées et partagées vers Google n'est visiblement pas au rendez-vous. « Les données de connexion envoyées par Google Play Services sont marquées de l'identifiant Google Android, qui peut souvent être associé à l'identité réelle d'une personne - les données ne sont donc pas anonymes », ajoute-t-il.
Pour faire court, Google n'est visiblement au point avec le RGPD qu'en façade.
Source : The Register