Des trackers de localisation trouvés dans le code de 450 applications très populaires

Par Pierre Crochart, Spécialiste smartphone.

Publié le 02 février 2021 à 10h10

L’appétit des applications pour nos données personnelles paraît sans limites. ExpressVPN a réalisé une étude sur 450 des applications les plus populaires du moment, et a déniché un tracker visant à localiser l’utilisateur en permanence dans chacune d’elles.

Une liste recensant les 450 applications, toutes téléchargées au moins 1,7 milliard de fois, est disponible sur GitHub.

Des données potentiellement partagées avec l’armée

L’affaire est plus sérieuse qu’il n’y paraît. Car si personne ne doute un instant que son smartphone le suit à la trace en permanence, tout le monde n’est peut-être pas conscient que ses données de localisation arrivent sur des serveurs de l’armée américaine.

X-Mode est l’un des plus gros courtiers de données outre-Atlantique. Suite à une enquête publiée par Motherboard l’an dernier, révélant que l’entreprise entretenait des liens étroits avec l’armée américaine, Apple et Google avaient décidé de bannir les applications contenant le SDK signé par X-Mode.

Seulement, les conclusions de l’enquête d’ExpressVPN contredisent cette directive. D’après Sean O’Brien, le directeur de la recherche d’ExpressVPN Digital Security Lab, le code de X-Mode était présent dans 44% (soit 199) applications analysées. « Malgré le bannissement, seules 10% des applications ont été supprimées de Google Play », rapporte le chercheur.

D’après les observations d’ExpressVPN, les applications destinées aux musulmans (Muslim Pro, Muslim Mingle, etc.) semblent retenir particulièrement l’attention de X-Mode, dont le SDK serait présent dans 10 applications religieuses ou culturelles dépassant les 67 millions de téléchargements.

Des contrefaçons d’applications cauchemardesques pour les données personnelles

Sans grande surprise, les applications de rencontres figurent en tête des catégories d’applis demandant un accès permanent à la localisation de l’utilisateur. Mais plus inquiétant pour les mobinautes les moins avertis : certaines contrefaçons d’applications sont elles aussi très gourmandes en matière de données personnelles.

Par contrefaçons d’applications, on entend des apps qui cherchent à reproduire les codes esthétiques et les fonctionnalités d’une véritable application afin de tromper l’utilisateur. Il s’agit par exemple de Telegramy ou de Messenger App, qui cherchent à singer Telegram, ou de We Chat, qui cherche à attirer dans ses filets les utilisateurs à la recherche de WeChat (sans espace).

Comme le révèle l’enquête d’ExpressVPN, ces « fausses » applications sont particulièrement chargées en trackers. Rien que sur ces derniers exemples, on en dénombre respectivement 20, 24 et 19. Dans la liste, des trackers Google et Facebook, comme partout ailleurs sur le Web, mais aussi parfois signés par Quadrant — un courtier de données « qui a été central dans de récents scandales de confidentialité », nous apprend ExpressVPN — ou OneAudience. Un énième courtier qui — c’est dire — a été attaqué en justice par Facebook pour violation des données personnelles de ses utilisateurs. Son code a été trouvé dans 167 applications de la liste, soit 37%.

Source : ExpressVPN

Par Pierre Crochart

Spécialiste smartphone

Données personnelles

Applications mobiles

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (8)

SPH

Peut-on porter plainte a titre individuel ?

ar-s

SPH Tu peux toujours… Mais contre une boite en dehors de france tu vas juste jeter ta tune par la fenêtre.

ivico

Tu peux faire un dépôt à la CNIL. Toute entreprise qui dispose de données à caractère personnel (DCP) de citoyens européens est soumis au RGPD. Tu as donc un droit d’accès a ces informations et de limitation de traitement (notamment).

Pour commencer il te faut contacter le DPO de l’entreprise (voir l’adresse email dans les CGU ou la politique de données). Les adresses sont souvent en [email protected].

Apres ta demande, ils ont 1 mois pour te fournir une réponse. Si la réponse est insatisfaisante ou qu’il n’y en a pas, tu peux alors saisir la CNIL.

Elle demandera alors de justifier de tes actions (email envoyé) avant d’entamer une enquête.

Personnellement j’ai déjà exercé ce droit plusieurs fois. Compte tenu des amandes que risquent les entreprises, elles répondent toujours . En revanche, la justification à la finalité des traitements est beaucoup plus floue et souvent fausse (voir article 6 du rgpd).

Dans la grande majorité des cas, les entreprises n’ont pas de consentement explicite. Elles se fondent sur l’intérêt légitime (comme toutes les boites de pub). Il n’en demeure pas moins que compte tenu de la quantité de données récoltées. C’est abusif.

Mais ne soit pas naif. La CNIL n’a pas les moyens de contrôler tout le monde (ils font 400 controles par an). Pour l’instant ils se concentrent sur les gros.

sandalfo

Ce sont des malware, ce serait sympa d’avoir un anti malware fiable qui scanne les app sur iOS pour débusquer les indiscrètes / backdoor.

Oldtimer

Blokada ?

kalimero1

@Oldtimer Il n’y a pas une histoire de VPN avec Blokada ? C’est ce qui m’a poussé à le désinstaller sitôt installé.

Oldtimer

Exact !

Y a t il un autre outil sans vpn ?

pascal16

Comme Zuckerberg, il ferons comme s’ils n’étaient pas au courant alors qu’il monétisent les données.