Mobilitics : la Cnil et Inria passent nos iPhone au scalpel

En France, 24 millions de personnes ont un smartphone. Apple

 

Les iPhone contiennent de nombreuses informations personnelles. La Cnil et l’Inria se sont demandés ce qu’il se passe à l’intérieur de ces « boîtes noires ». Le projet nommé Mobilitics donne quelques éléments de réponse sur l’utilisation de nos données.

Le smartphone (sous iOS ou Android) est bien plus qu’un simple téléphone. Cet ordinateur de poche comporte un ensemble de capteurs embarqués ou connectés qui en dit long sur son utilisateur. Afin de mieux comprendre les interactions à l’intérieur de ces « boîtes noires » la Commission nationale de l’informatique et des Libertés (Cnil) et l’Institut national de recherche en informatique et en automatique (Inria) ont lancé fin 2011 un projet de recherche et développement intitulé Mobilitics. Les premiers résultats de l’enquête ont été rendus publics le 9 avril. Mobilitics consiste à analyser en profondeur les données personnelles enregistrées, stockées et diffusées par le smartphone. Par la suite Mobilitics tentera de favoriser les innovations et les nouveaux services durables, protecteur des droits des utilisateurs.

Une expérience in vivo 

Mobilitics a permis de développer un outil capable de détecter et d’enregistrer les accès à des données personnelles par des applications ou programmes internes du téléphone : accès à la localisation, à des identifiants du téléphone, au carnet d’adresse, etc. Celui-ci a nécessité un an de développement. Il concerne les iPhone (système d’exploitation iOS). L’outil concernant Android, le système d’exploitation de Google, devrait être opérationnel dans les prochaines semaines. La Cnil et l’Inria l’ont installé sur six iPhone. Après 3 mois d’enquête, les testeurs avaient utilisé 189 applications. Mobilitics a permis de récolter 9 Go de données soit 7 millions d’événements à analyser. Près de 41 000 événements de géolocalisation ont été relevés, soit 76 évènement par jour et par volontaire.

Les résultats de l’enquête révèlent que 93% des applications de l’App Store d’Apple testées ont accès à internet. Pour certaines, en particulier les jeux, cela ne se justifie pas. Une application sur deux a accès à l’UDID (identifiant unique d’Apple) et 15% des applications ont accès au nom de l’appareil pour un usage qui est peu claire. Le nom de l’appareil est généralement relié aux comptes d’utilisateurs (iTunes par exemple). Il peut en conséquence exister un lien avec le nom réel de l’utilisateur ou son mail. Une application sur trois accède à la géolocalisation de l’appareil. En revanche, le nombre d’applications testées ayant accès au carnet d’adresse reste marginal (8%). Idem pour l’accès au calendrier (2%). Il est important de signaler que pour certaines de ces applications l’accès à ces données n’a aucun lien direct avec l’action de l’utilisateur ou le service offert par l’application.

Identification et traçage « envahissent les smartphones »

Les développeurs captent massivement des données permettant de tracer et de récupérer l’UDID de l’iPhone. Apple a annoncé que, prochainement, il ne permettrait plus aux développeurs d’accéder à l’UDID mais « la question sur l’information et le contrôle de l’utilisateur de ces identifiants demeure » d’après la Cnil. Cela est d’autant plus vrai que la problématique des cookies prend de l’ampleur au sein de l’écosystème des applications mobiles.

Mobilitics permet également de relever que de nombreux acteurs économiques, invisibles pour les utilisateurs, ont accès à ces données. Ces « acteurs tiers » sont présents au sein des applications. La Cnil et l’Inria relèvent des acteurs qui fournissent des solutions techniques ou de monétisation au développeur, des acteurs classiques du tracking (Google, Criteo, Xiti…) ou encore des acteurs émergeants spécialisés dans le mobile comme Flurry. C’est une responsabilité partagée que dénonce l’étude. Responsabilité des développeurs, qui ont besoin de collecter des données pour des fonctions de suivi des usages, mais aussi des magasins d’applications, des éditeurs de systèmes d’exploitation et des acteurs tiers. La Cnil et ses homologues européennes – le G29 – ont formulé des recommandations à l’égard de ces quatre grandes catégories d’acteurs afin d’assurer une plus grande protection des utilisateurs quand à l’exploitation de leurs données personnelles. Michel Cosnard, président de l’Inria, invite à ne pas être naïf quant à l’utilisation de ces technologies. « La technologie est neutre et l’homme ne l’est jamais ».

 

Quelques chiffres

En France, 24 millions de personnes ont un smartphone (Médiamétrie, septembre 2012). Près de 800 000 applications sont disponibles sur l’App Store d’Apple. Apple annonce 20 milliards de téléchargements en 2012. Côté Android, il y a 700 000 applications sur le Play Store de Google et près de 25  milliards de téléchargements depuis sa création en mars 2012. 

Le chiffre du jour
1
est en moyenne signalée toutes les semaines dans les établissements de santé depuis janvier 2021. Les hôpitaux ont subi 27 cyberattaques majeures - qui ont effectué tout ou partie de leurs systèmes d'information - en 2020.