Discussion :

[Stéphane le calme]

Comment certaines applications dans l'écosystème Android échangent des données avec Facebook,
en particulier pour les mobinautes qui n'ont pas de compte Facebook ?

Des recherches antérieures ont montré comment 42,55% des applications gratuites sur le Google Play Store pouvaient partager des données avec Facebook, faisant de Facebook le deuxième outil de suivi tiers le plus utilisé après Alphabet, la société mère de Google. Dans un rapport, des chercheurs de l’ONG Privacy International ont illustré à quoi ressemble ce partage de données, en particulier pour les personnes n'ayant pas de compte Facebook.

Cette question de savoir si Facebook recueille des informations sur les utilisateurs non connectés ou n'ayant pas de compte a été soulevée à la suite du scandale de Cambridge Analytica par des législateurs lors d'audiences aux États-Unis et en Europe. Les discussions, ainsi que les amendes précédentes des autorités de protection des données relatives au suivi des non-utilisateurs, se concentrent toutefois souvent sur le suivi des sites Web. On en sait beaucoup moins sur les données que la société reçoit des applications. Pour ces raisons, dans le rapport, ont été soulevées des questions sur la transparence et l'utilisation des données d'applications considérées comme opportunes et importantes par les chercheurs de Privacy International.

Pour ce rapport, nous nous sommes concentrés sur Android (au lieu d’autres systèmes d’exploitation ou périphériques). Toutefois, le suivi par des tiers est également répandu sur d’autres plateformes. Nous nous intéressions plus particulièrement aux types de données que les applications partagent avec Facebook sur les utilisateurs qui n'ont pas de compte Facebook (ou qui sont déconnectés de la plateforme), ainsi qu'au moment et à la manière dont ces données sont transmises. Tandis que d'autres ont examiné la prévalence du suivi plus largement, nous nous sommes concentrés sur Facebook, car leur accès aux données en tant que tierce partie l’est d’une manière inhabituelle et inattendue pour les consommateurs.

Facebook suit régulièrement les utilisateurs, les non-utilisateurs et les utilisateurs déconnectés en dehors de sa plateforme via Facebook Business Tools. Les développeurs d'applications partagent des données avec Facebook via le Kit de développement logiciel (SDK) de Facebook, un ensemble d'outils de développement logiciel aidant les développeurs à créer des applications pour un système d'exploitation spécifique.

Analyse

En utilisant le logiciel gratuit et open source appelé "mitmproxy", un proxy interactif HTTPS, Privacy International a analysé les données transmises par 34 applications sur Android, chacune avec une base d'installation de 10 à 500 millions, à Facebook via le SDK de Facebook. Toutes les applications ont été testées entre août et décembre 2018, le dernier test ayant eu lieu entre le 3 et le 11 décembre 2018.

Voici les différents composants dont se sont servis les chercheurs

• Un ordinateur portable exécutant une machine virtuelle (Oracle VirtualBox) avec mitmproxy en mode "transparent" (ce qui signifie que la connexion est interceptée à l'insu du client). Avec les outils nécessaires pour créer un point d’accès au réseau fonctionnel. La machine virtuelle exécute Debian 10 en raison des exigences de mitmproxy qui nécessite l’utilisation de Python version 3.6.4 ou une version plus récente.
• Un téléphone Android Nexus 5 sous Android 8.1 (Oreo). Les chercheurs se sont servi de Lineage OS, construit à partir de l’Android Open Source Project (AOSP), afin d'exécuter des versions plus récentes d'Android sur l'appareil.
• Un périphérique (ordinateur portable) pour exécuter Android Development Bridge (ADB) afin d’installer le certificat mitmproxy dans le Systems Trust Store (par opposition au Users Trust Store) en raison des contraintes de sécurité introduites dans Android 728, et de faire des enregistrements d’activités dans les applications en se servant de la fonctionnalité "enregistrement” de l’ADB.

Résultats

• Les chercheurs ont constaté qu'au moins 61% des applications qui ont été testées transfèrent automatiquement des données vers Facebook dès qu'un utilisateur ouvre l'application. Cela se produit que les personnes aient un compte Facebook ou non, qu'elles soient ou non connectées à Facebook.
• Généralement, les premières données transmises automatiquement sont des données d'événements qui communiquent à Facebook que le SDK de Facebook a été initialisé en transmettant des données telles que "App installée" et "SDK initialisé". Ces données révèlent le fait qu'un utilisateur utilise application spécifique, chaque fois que l'utilisateur ouvre une application.
• Dans l’analyse, les applications qui transmettent automatiquement des données à Facebook partagent ces données avec un identifiant unique, l'ID de publicité Google (AAID). Les ID de publicité, tels que l'ID de publicité Google (ou son équivalent Apple, IDFA), ont pour objectif principal de permettre aux annonceurs de relier des données sur le comportement des utilisateurs à partir de différentes applications et de la navigation Web dans un profil complet. Si elles sont combinées, les données de différentes applications peuvent brosser un tableau détaillé et intime des activités, des intérêts, des comportements et des routines des personnes, dont certaines peuvent révéler des données de catégories spéciales, notamment des informations sur la santé ou la religion des personnes. Par exemple, une personne qui a installé les applications suivantes que les chercheurs ont testées, "Qibla Connect" (une application de prière musulmane), "Period Tracker Clue" (un suivi de cycle menstruel), "Indeed" (une application de recherche d'emploi), "My Talking Tom « (une application utilisée par les enfants), pourrait potentiellement être présenté comme une femme, probablement une musulmane, probablement une chercheuse d'emploi, et elle pourrait être un parent.
• Si elles sont combinées, les données d'événement telles qu'Application installée, "SDK initialisé" et "Désactiver l'application" de différentes applications offrent également un aperçu détaillé du comportement d'utilisation de l'application par des centaines de millions de personnes.
• Les chercheurs ont également constaté que certaines applications envoient régulièrement des données Facebook extrêmement détaillées et parfois sensibles. Encore une fois, cela concerne les données de personnes qui sont déconnectées de Facebook ou qui ne possèdent pas de compte Facebook. L’application de recherche de voyages et de comparaison de prix "KAYAK" en est un bon exemple. Elle fournit des informations détaillées sur les recherches de vols des internautes vers Facebook, notamment: ville de départ, aéroport de départ, date de départ, ville d’arrivée, aéroport de départ, date d'arrivée, nombre de billets ( y compris le nombre d'enfants), la classe de billets (classe économique, classe affaires ou première classe).
• La politique en matière de cookies de Facebook décrit les deux manières par lesquelles les personnes qui ne possèdent pas de compte Facebook peuvent contrôler l’utilisation des cookies par Facebook pour leur diffuser des annonces. Privacy International a testé les deux options de retrait et a constaté qu'elles n'avaient aucun impact perceptible sur le partage de données décrit dans ce rapport.

Conclusion

Facebook demande aux développeurs d’applications de s’assurer qu’ils ont le droit légitime de collecter, d’utiliser et de partager les données des personnes avant de fournir des données à Facebook. Cependant, l'implémentation par défaut du SDK de Facebook est conçue pour transmettre automatiquement les données d'événement à Facebook.

Depuis le 25 mai 2018, le jour de l'entrée en vigueur du règlement général sur la protection des données (RGPD) de l'UE, les développeurs ont déposé des rapports de bogues sur la plateforme développeurs de Facebook. Ils craignent que le SDK de Facebook ne partage automatiquement les données avant que les applications ne puissent demander aux utilisateurs de donner un accord ou de consentement. Le 28 juin 2018, Facebook a publié une fonctionnalité volontaire qui devrait permettre aux développeurs de retarder la collecte des événements automatiquement enregistrés jusqu'à l'obtention du consentement de l'utilisateur. Cette fonctionnalité a été lancée 35 jours après l’entrée en vigueur de GDPR et ne fonctionne qu’à partir du SDK version 4.34.

En réponse à ce rapport, Facebook a déclaré dans un courriel adressé à Privacy International le 28 décembre 2018 : « Avant l'introduction de l'option “délai”, les développeurs avaient la possibilité de désactiver la transmission des données de journalisation automatique des événements, à l'exception d'un signal indiquant que le SDK avait été initialisé. Suite à la modification apportée en juin à notre SDK, nous avons également supprimé le signal d'initialisation du SDK pour les développeurs qui désactivaient la journalisation automatique des événements ».

Sans aucune transparence supplémentaire de Facebook, il est impossible de savoir avec certitude comment les données décrites dans ce rapport sont utilisées. C'est particulièrement le cas puisque Facebook a fait preuve de moins de transparence dans la manière dont il utilise par le passé les données d'utilisateurs autres que Facebook.

Nos constatations soulèvent également un certain nombre de questions juridiques. Étant donné que cette étude a été menée au Royaume-Uni, nous nous sommes concentrés sur le cadre européen applicable, à savoir le droit de l'UE en matière de protection des données (RGPD) et de protection de la vie privée (la directive ePrivacy 2002/58 / CE, telle que transposée par la législation des États membres), ainsi que la Loi sur la compétition. Un thème sous-jacent est la responsabilité des différents acteurs impliqués, y compris Facebook.

Source : rapport (au format PDF)

Voir aussi :

Combien faudrait-il vous payer pour que vous désactiviez votre compte Facebook pendant un an ? voici les résultats d'une recherche à ce propos
Facebook rend open source le système de reconnaissance vocale Wav2letter++ et publie Flashlight, une bibliothèque d'apprentissage machine
Facebook travaillerait sur la création de sa propre cryptomonnaie basée sur la blockchain pour le transfert d'argent via WhatsApp
Facebook recueillerait des données personnelles provenant de plusieurs applications tierces, et tout ceci à l'insu des utilisateurs
« Zuckerberg doit démissionner » : l'indignation monte après un rapport indiquant que Facebook, a laissé des entreprises lire des messages privés

[emilie77]

4% de la facturation mondiale de Facebook?

[herr_wann]

Cette société est un véritable cancer pour internet, elle bafoue délibérément la volonté des internautes de ne pas être pisté dans l'indifférence générale du législateur

[Invité]

4 % du chiffre d’affaires mondial s’agissant des entreprises ou 20 millions d’euros d’amende

[pseon]

Cette société est un véritable cancer pour internet, elle bafoue délibérément la volonté des internautes de ne pas être pisté dans l'indifférence générale du législateur

Malheureusement pas la seule. On pourrait citer GOGOLE, AMAZON, et beaucoup d'autres de la nouvelle et de l'ancienne économie qui pratiquent l'optimisation/évasion fiscale et faisant voter/changer les lois comme ça les arrangent.

[candide02]

on voit, avec l'utilisation de ce réseau asocial qu'un petit % d'individu peut se servir de ce logiciel pour fomenter un insurrection, donc ma question : l'état peut-il interdire facebook et corolaire l'état peut-il utiliser les données de facebook pour surveiller le groupe d'agitateurs ?

[LeBreton56]

Je pense que ce type de comportement dans de l'open devrait être chassé, dénoncé, puni!
Le peut-on ?

[rsuinux]

question aux développeurs: J'ai désactivé l'application facebook sur mon S8, mais cela suffit il pour supprimer les envois de donnée(s) vers leurs serveurs? Et plus généralement, le fait de désactiver une application (on ne peut pas la supprimer purement et simplement), suffit il pour empêcher l'envoi de données? C'est à finir par devenir parano...!!!

[Bigb]

Facebook est une véritable pieuvre en matière de collecte de données privées. A fuir et a bannir!

[Christian Olivier]

Facebook vous suit toujours sur les applications Android comme Yelp, Duolingo ou Indeed
Même si vous n'avez pas de compte Facebook

En décembre 2018, Privacy International, une ONG fondée en 1990, qui milite pour la défense des droits de l’homme, en particulier contre la violation de la vie privée commis par les gouvernements et autres organisations, a montré comment certaines des applications les plus utilisées de la Play Store transmettaient automatiquement des données personnelles à Facebook dès leur lancement. Ce transfert de données se produisait même si l’utilisateur de l’une des applications concernées ne possédait pas de compte Facebook ou s’il était déconnecté de la plateforme Facebook.

Ce constat était extrêmement problématique, non seulement pour la vie privée, mais aussi pour la concurrence. Les précieuses données que les applications envoient à Facebook comprennent généralement des informations indiquant à quel moment une application spécifique a été ouverte ou fermée qui peuvent orienter sur la fréquence d’utilisation de cette même application. Étant donné que les données sont envoyées avec un identifiant unique, l’identifiant publicitaire Google d’un utilisateur, il serait facile de faire coïncider ces données à un profil et de brosser un tableau détaillé des intérêts, identités et routines quotidiennes d’une personne.

Après les nombreux scandales qui ont mis en lumière les négligences graves commises par Facebook en matière de gestion des données à caractères privées de ses utilisateurs, Privacy International a réitéré son expérience cette année afin d’apprécier l’impact de ses révélations sur la politique de gestion et de partage des données privées des utilisateurs des applications incriminées auparavant.

Au terme de sa nouvelle enquête, Privacy International a déclaré : « nous avons testé à nouveau toutes les applications de notre rapport et il semble que nous ayons eu un certain impact. Les deux tiers de toutes les applications que nous avons soumis une nouvelle fois au test, y compris Spotify, Skyscanner et KAYAK, ont mis à jour leurs applications de sorte qu’elles ne contactent plus Facebook lorsque vous ouvrez l’application ».

L’ONG prévient malgré tout que sept applications, dont Yelp, l’application d’apprentissage linguistique Duolingo et l’application de recherche d’emploi Indeed, ainsi que l’application King James Bible et deux applications de prière musulmane, Qibla Connect et Muslim Pro, envoient toujours vos données personnelles à la firme de Menlo Park avant de décider si vous voulez donner votre consentement ou non. Les résultats observés seraient valables autant pour la plateforme Android que iOS.

La réaction de Privacy International

Fort de ce constat, Privacy International a entrepris des actions visant à prévenir la survenue de nouvelles atteintes graves à la confidentialité des données privées des utilisateurs, leur marchandage illicite ou leur réutilisation sournoise et inappropriée. L’organisation a soulevé la question du suivi des applications par des tiers avec le Comité européen de la protection des données et le Contrôleur européen de la protection des données, en demandant que ses conclusions et les questions juridiques soulevées dans ses travaux et avis à venir soient prises en considération. Elle a contacté tous les éditeurs d’applications qui, sur la base des résultats de son enquête, envoient encore beaucoup trop de données à Facebook en leur demandant de publier des mises à jour.

L’ONG a aussi exhorté Facebook à modifier le comportement par défaut de son kit de développement logiciel (SDK), un produit commercial du géant des réseaux sociaux que les applications intègrent dans leur code, précisant qu’il pénalise actuellement les développeurs. Les applications se reposent sur ce SDK pour intégrer leur produit aux services Facebook, comme les outils de connexion et de suivi des annonces de Facebook. Cependant, le SDK de Facebook est conçu pour transmettre automatiquement des données personnelles à Facebook dès qu’un utilisateur ouvre l’application, ce qui serait contraire au principe de la protection des données et à une exigence du droit européen en matière de protection des données. Facebook mettrait en outre toute la responsabilité sur les applications pour s’assurer que les données qu’elles lui communiquent ont été collectées légalement.

Les applications, en particulier celles qui comptent des millions d’installations, doivent prendre au sérieux la vie privée de leurs utilisateurs. L’ONG recommande donc que les développeurs de ces applications limitent le suivi des tiers à ce qui est strictement nécessaire. Enfin, l’ONG a décidé de mettre à la disposition des personnes intéressées son environnement de test afin que ces derniers puissent reproduire cette étude et révéler des échanges de données privées inappropriés.

Facebook ne serait que la partie émergée de l’iceberg​

D’après Privacy International, le SDK Facebook ne serait qu’un exemple parmi les nombreux traqueurs tiers que les applications, y compris celles que nous avons testées à nouveau, utilisent. En fait, près de 90 % des applications gratuites disponibles sur le magasin en ligne de Google partagent des données avec la société mère de Google, Alphabet. De nombreuses applications que nous avons testées, y compris celles qui n’envoient plus de données à Facebook, envoient encore une quantité choquante de données personnelles à toutes sortes de tiers, comme des annonceurs ou des courtiers en données, d’une manière qui n’est pas transparente et qui ne donne pas aux utilisateurs un véritable choix.

Comment se protéger ?

Vous pouvez bloquer certains cookies indésirables et la technologie de suivi dans les navigateurs Web, mais il est extrêmement difficile de faire la même chose dans les applications. Par exemple, aucun système d’exploitation traditionnel, y compris Android et iOS, ne permet aux utilisateurs d’empêcher le suivi par des tiers dans les applications, ce qui rend les internautes vulnérables aux pratiques d’exploitation des données. Néanmoins, tout le monde peut prendre des mesures pour réduire le suivi des applications sur Android :

• Réinitialisez régulièrement votre identifiant publicitaire même si ça ne vous empêchera pas d’être suivi et profilé ;

• Limitez la personnalisation publicitaire et les autres options de ciblage publicitaire dans les paramètres Android sous Paramètres > Google > Annonces > Opter pour la publicité personnalisée ;

• Vérifiez régulièrement les autorisations que vous avez accordées à différentes applications et limitez-les à ce qui est strictement nécessaire.

Signalons au passage que de nombreuses applications peuvent contrôler la façon dont les autres applications de votre téléphone interagissent avec le réseau et entre elles, pensez-y. Un exemple est Shelter, qui vous permet de séparer les applications en différents profils au sein de l’appareil Android, permettant des contrôles d’accès différents ou des comptes Google séparés, permettant d’utiliser des ID publicitaires séparés pour différentes applications. En outre, l’ajout d’un pare-feu, comme AFWall+ ou NetGuard, peut également limiter les connexions aux adresses telles que graph.facebook.com. Prenez malgré tout le temps de bien vous renseigner avant d’utiliser de tels outils afin de comprendre leurs limites et leurs ramifications.

Source : Privacy International

Et vous ?

Êtes-vous surpris par cette information ?
Que faites vous en général pour limiter le suivi de vos activités en ligne et assurer la confidentialité de vos données privées ?

Voir aussi

Privacy International porte plainte contre sept entreprises de la Tech pour violation du RGPD auprès des autorités européennes
L'Irlande s'interroge sur le bienfondé du projet de fusion des applications Messenger, Instagram et WhatsApp du géant américain Facebook en Europe
Comment certaines applications Android échangent des données avec Facebook en particulier pour les mobinautes qui n'ont pas de compte Facebook ?