L’ampleur de la collecte de données personnelles sur les smartphones Android est pire qu’on l’avait imaginée. Une étude menée par des chercheurs de l’université d’Édimbourg et du Trinity College de Dublin dresse un tableau anxiogène de toutes les informations qui nous échappent lorsque nous utilisons un smartphone.
On savait les entreprises du Web avides de nos données personnelles, qu’elles revendent à prix d’or pour nous servir de la publicité ciblée. Mais d’après les chercheurs Haoyu Liu, Paul Patras et Douglas J. Leith, les applications de nos smartphones ne sont que l’arbre qui cache la forêt.
Samsung, Xiaomi, Huawei et realme parmi les plus gourmands
Pour leur étude, les chercheurs ont mis à l’épreuve des smartphones équipés de OneUI (Samsung), MIUI (Xiaomi), HarmonyOS (Huawei), realme (ColorOS) ainsi que LineageOS et /e/OS, des ROM alternatives, open source et orientées vers la confidentialité.
Les différents téléphones ont été configurés de manière à refuser le partage de données télémétriques, et aucun service tel que le Cloud ou les fonctionnalités de type « Find My Phone » n’ont été activées. En clair : « les téléphones sont juste utilisés pour passer des appels et envoyer des SMS », écrivent les chercheurs pour poser les bases.
Mais, même dans ces conditions, il apparaît que « les variantes d’Android de Samsung, Xiaomi, Huawei et realme transmettent un volume de données substantiel à leurs constructeurs ainsi qu’à des tierces parties qui ont des applications pré-installées ». Cela signifie que non seulement Samsung (par exemple) reçoit d’importants paquets de données, mais également Microsoft, Google, Facebook et bien d'autres.
Il est important de noter que LineageOS envoie quant à lui un volume identique de data à Google, mais ne partage rien avec d’autres parties. /e/OS n’envoie quant à lui aucune information, d’aucune sorte, à qui que ce soit.
De quelles données parle-t-on exactement ?
Mais que mettons-nous exactement derrière le terme « données » ? Les chercheurs ont dressé un tableau récapitulatif des différents types de data siphonnées par les constructeurs ainsi que des tierces parties vers qui elles transitent.
En particulier, le nerf de la guerre semble être les identifiants relatifs au numéro IMEI et au numéro de série de l’appareil utilisé. Xiaomi et Google vont plus loin que les autres en récupérant également l’adresse MAC de votre point de connexion Wi-Fi.
L’identifiant publicitaire est également très prisé. Et pour cause : c’est grâce à lui que les applications et leurs annonceurs peuvent vous suivre à la trace sur le Web pour connaître vos goûts et vous servir de la publicité correspondante. Mais le plus troublant, c’est que les chercheurs ont découvert que le fait de « réinitialiser l’identifiant publicitaire » (option disponible dans les menus du téléphone) était inutile. « Lorsqu’un utilisateur réinitialise un identifiant, la nouvelle valeur peut être rattachée de façon triviale au même appareil », écrivent les universitaires, tout en précisant qu’ils ignorent si le lien est effectivement rétabli entre les deux identifiants.
L’activité des utilisateurs sur leur smartphone est également consignée et renvoyée à des tierces parties. Par exemple, Xiaomi connaît la durée de vos appels téléphoniques, mais aussi le temps que vous passez sur chaque application installée. Huawey partage quant à lui avec Microsoft vos données d’utilisation du clavier SwiftKey (par défaut), sans pour autant en divulguer le contenu, a priori. Toutes les métadonnées relatives à l’utilisation de l’application Google Messages sont également loguées et partagées avec le géant du Web.
En bref : tout ce que vous faites avec un smartphone Android est connu de son constructeur et de ses partenaires. Pas le contenu, mais les métadonnées. Le quoi, le quand, le où, le comment, le avec qui.
Aucune échappatoire
Qu’apprend-on exactement dans cette étude ? Que nos smartphones sont des passoires à données personnelles ? On s’en doutait un peu. Non, on apprend qu’aucune action entreprise par l’utilisateur ne permet d’endiguer la collecte de ces données. À moins qu’il opte pour un OS plus respectueux de sa vie privée.
Comme l’indiquent les chercheurs britanniques, il faut distinguer la « bonne » collecte de données de la « mauvaise ». Partager avec le constructeur du smartphone le numéro de série de son appareil et la région du monde dans laquelle il est utilisé est utile notamment pour le déploiement de mises à jour. Mais l’aspiration d’une quantité de données astronomique permettant de désanonymiser l’utilisateur pose un véritable problème de confidentialité, estime le trio.
Pour grossir le trait, certains constructeurs de smartphones sont aujourd’hui en capacité de dire quels smartphones (via leur identifiant) utilisent régulièrement des applications de rencontres gay dans un pays où l’homosexualité est criminalisée. Ou quels smartphones dans la région du Xinjiang, où sont installés les Ouïgours, disposent d’une application de prières musulmanes.
Le nœud du problème est que ces données nous échappent totalement et qu’elles peuvent être croisées avec d’autres, récupérées par exemple en naviguant simplement sur le Web en étant connecté à un compte rattaché à notre smartphone. Ces masses de données créent des profils à notre insu qui, la plupart du temps; ne sont utilisés que pour nous vendre des choses, mais qui peuvent pour certaines personnes représenter des risques pour leur sécurité.
Source : Trinity College Dublin
