Les téléphones et les tablettes collectent des données de géolocalisation. Face à ce constat, quelques recommandations pour se prémunir de tout risque d’atteinte à la vie privée.
Sur Android, le téléphone envoie régulièrement le numéro IMEI (identifiant unique du téléphone) ainsi que l’identité des BSSID ou des antennes GSM audibles depuis le téléphone. Cette transmission se fait à intervalles fréquents (1h, ou sortie de veille). Ces informations sont associées à une date et heure, et peuvent contenir des informations liées aux comptes Google du possesseur du téléphone. Là encore, les informations transmises permettent facilement aux serveurs de la plate-forme Android de reconstituer zones de présence et trajets.
Nous pouvons donc affirmer que les téléphones, et vraisemblablement les tablettes, collectent des données de géolocalisation. Ces données sont transférées sous le contrôle de l’hébergeur (Apple ou Google), après acceptation par l’utilisateur d’une licence d’utilisation floue. Aucune information n’est fournie par l’hébergeur quand à l’usage et la durée de collecte de ces informations. Ces informations sont également collectées par des applications, ce fait étant clairement illustré lors de l’installation d’applications sur Android par la liste des privilèges demandés par chaque application.
Les propositions
Suite à ces constatations, nous pouvons formuler les recommandations suivantes :
– En ce qui concerne les fournisseurs de la plate forme (Apple et Google), Il est nécessaire de mieux contrôler l’accès des applications aux informations, notamment de géolocalisation, mais pas seulement. A l’heure actuelle, l’iphone permet certains contrôles sur l’accès des applications aux informations de géolocalisation, mais l’utilisateur doit aller lui-même vérifier le paramétrage de ces applications. Android en version « usine » ne permet pas ces contrôles. Plus généralement, la centralisation et la clarification des options de configuration touchant les données personnelles est indispensable sur ces deux plates-formes.
– Il est également nécessaire de mieux expliquer les traitements et le stockage effectués à distance, de privilégier les traitements locaux des données personnelles, et de mieux séparer les différents types d’information afin d’éviter le croisement publicitaire (identités des comptes en ligne, du téléphone, localisation, etc.). Il semble également impératif de permettre nativement aux utilisateurs d’Android de gérer les droits, en complément des avertissements existants, et de rendre ceux-ci plus compréhensibles. La notion « d’accès au réseau » notamment est beaucoup trop vague.
– En ce qui concerne les utilisateurs, l’aspect « macroscopique » des informations actuellement fournies est surprenant. Nous leur conseillons la plus grande prudence quand à l’installation d’applications tierces sur leurs mobiles, en particulier des applications gratuites. Cela devrait encourager les développeurs d’application à être moins gourmands en termes de privilèges demandés, quitte à demander rémunération. Malheureusement, les anti-virus actuels sur ces plates-formes ne permettent pas de gérer ces accès aux données de localisation et aux données personnelles.
En conclusion, nous constatons que sur les deux plates-formes mobiles principales, la collecte d’informations de géolocalisation est fréquente et est conservée hors du contrôle de l’utilisateur. Elle est également très peu documentée ; en particulier nous ne connaissons pas l’usage fait de ces données ni la durée de conservation. En conséquence, nous sommes inquiets du développement de cette technologie, qui semble plus utile à des fins commerciales privées.
Hervé Debar
Publié le 19 août 2012
Hervé Debar est professeur à Télécom SudParis, responsable du département Réseaux et Services de Télécommunications (RST).
Son activité est liée au domaine de la sécurité des systèmes d’information et des réseaux.
Il a conduit dans le passé des activités liées aux systèmes de détection d’intrusions et il travaille actuellement sur les plates-formes de gestion opérationnelle de la sécurité (Security Information and Event Management or SIEM), avec un intérêt particulier pour les contres-mesures automatisées pour lutter contre les attaques informatiques.
[1] http://www.slate.fr/story/54495/confiance-google-vie-privee-street-view-milner-wifi-espion
[2] http://www.unixgarden.com/sommaire/index.php?auteur=889
Source :
http://www.atlantico.fr/decryptage/comment-apple-android-utilisent-donness-sans-que-sachiez-herve-debar-453458.html?page=0,1
COMMENTS