Sites Inria

Le 06.06.2013

Les espions qui venaient du... smartphone

Les applications mobiles que vous utilisez sur votre smartphone tentent parfois, secrètement, d’en savoir plus sur vous. De telles atteintes à la vie privée se sont multipliées en 2012, au point de mobiliser la CNIL. Et ces dérives ne concernent pas seulement les smartphones, comme l’expliquent Claude Castelluccia* et Vincent Roca, chercheurs à Inria.

© CSA Images / iStockiphoto

*Claude Castelluccia est responsable de l’équipe Privatics à Inria Rhone-Alpes Grenoble, et Vincent Roca, chercheur dans l’équipe Privatics, suit le projet Mobilitics

«L’année 2012 aura été marquante sur le plan des atteintes à la vie privée !», souligne d’emblée Vincent Roca. Une tendance qui s’est traduite par des comportements anormaux d’applications pour smartphones ou tablettes, agissant à l’insu des utilisateurs. Petit rappel des cas les plus célèbres :

Certes, à chaque fois, les éditeurs incriminés ont rapidement remédié à ces «erreurs regrettables», dénoncées avec force par la presse informatique. «Les éditeurs d’application ont bien compris que leur image et leurs activités seraient sérieusement compromises si de telles pratiques se généralisaient», poursuit Vincent Roca. «Ces pratiques sont illégales, notamment en Europe : elles s’apparentent à des vols de données, la demande de consentement de l’utilisateur n’étant pas faite ou pas suffisamment éclairée», souligne pour sa part Claude Castelluccia.

En quoi consiste le préjudice porté aux utilisateurs ? Il relève de l’atteinte à la vie privée, qui veut que chacun puisse se déplacer et entrer en relation avec des personnes ou des institutions sans être l’objet d’une surveillance quelconque. «Nous sommes de plus en plus surveillés et profilés par des applications, sur Internet et sur mobiles. L’objectif des entreprises est clair : diffuser des publicités bien ciblées et monnayer ce service. Et l’idée suivant laquelle ces entreprises allaient se réguler d’elles-même est un échec», observe Claude Castelluccia.

Le modèle : gratuité contre données


C’est pourquoi la Commission Européenne étudie de nouveaux règlements et des contraintes plus fortes - dans le cadre de la Directive sur la protection des données personnelles -, malgré la pression des lobbyistes américains. «Aujourd’hui, l’utilisateur accède à des services gratuits parce que certaines données qui le caractérisent sont monnayées. Le modèle sous-jacent est donc : gratuité contre données. Il pose problème dès que l’utilisateur n’est pas tenu pleinement informé de cette récupération, de l’usage qui peut en être fait, et que son consentement n’est pas clairement sollicité», poursuit Claude Castelluccia.

«Nos travaux ont démontré que pour profiler une personne, il suffit d’étudier les publicités qui s’affichent dans son navigateur : on est trahi par ses pubs», souligne Claude Castelluccia. Deux exemples issus de la vie courante prouvent que le profilage d’un individu est efficace mais qu’il est, pour le moins, indiscret :

  • une cliente des supermarchés WallMart, aux Etats Unis, s’étonnait que sa fille reçoive des coupons de réduction sur des produits pour bébés. La société lui a répondu que sa fille était probablement enceinte, à en juger par ses achats récents. Et c’était bien le cas...

  • un jeune homme planifiait sur Internet son voyage de fiançailles à Venise, et voulait en faire la surprise à sa compagne. Celle-ci l’a malheureusement deviné, après le déferlement de bannières publicitaires sur les voyages à Venise qui a envahi leur navigateur pendant plusieurs jours.

Des exemples isolés ? Pour se faire une idée du volume impressionnant d’informations collectées par les applications mobiles, on peut regarder les chiffres fièrement affichés par la société américaine Flurry. A elle seule, cette entreprise collecte les informations provenant de 2,8 milliards de sessions d’applications par jour, ce qui lui permet de recueillir 2000 Go de données par jour. Et bien qu’elle soit un acteur majeur du domaine, elle est encore bien loin des géants que sont Google, Apple ou Facebook...

Des outils pour la CNIL


«Peu connues ou bien connues du public, ces sociétés ont la capacité technique de croiser les données d’un individu pour en établir un profil précis. Le grand public ne semble pas suffisamment informé et conscient des risques qui en découlent. Et il faut souligner que personne n’est à l’abri, même en étant très averti, comme l’a prouvée l’affaire Petraeus, qui a forcé la directeur de la CIA à démissionner», rappelle Vincent Roca.

Pour élaborer des parades, Inria et la CNIL se sont rapprochées (voir l'article sur inria.fr : «Espionner les espions ? Une mission pour Inria et la Cnil»). Dans le cadre de Mobilitics, Inria développe un logiciel d’analyse, qui intercepte sur le téléphone tout accès ou transmission de données personnelles. Inria développe aussi un prototype, capable d’apporter à un utilisateur un meilleur contrôle de ses données privées. «On peut considérer que, sur la base d’un tel démonstrateur, on donne la preuve qu’on peut techniquement faire mieux. Ce démonstrateur a donc vocation à fournir à la Cnil des arguments techniques forts et parfaitement informés, quand elle négocie avec des acteurs comme Apple ou Google, par exemple». La résistance s’organise !

 

Propulsé par