La surveillance invisible : tout le monde sait quelles applications vous utilisez sur votre smartphone
La surveillance invisible : tout le monde sait quelles applications vous utilisez sur votre smartphone,
la collecte d'informations par des applications demeure préoccupante
Les applications installées sur nos smartphones sont devenues des outils essentiels dans notre vie quotidienne, facilitant une multitude de tâches, de la communication à la gestion de nos finances. Cependant, la prolifération de ces applications soulève des questions cruciales concernant la confidentialité et la sécurité de nos données personnelles. Un aspect souvent négligé est la capacité de certaines applications à accéder à la liste complète des autres applications installées sur notre appareil. Cette pratique, bien que réduite ces dernières années, demeure préoccupante.
Jusqu'à il y a quelques années, sur les appareils Android, toute application installée pouvait accéder sans restriction à la liste des autres applications présentes sur le téléphone, et ce, sans le consentement explicite de l'utilisateur. Cette fonctionnalité permettait aux applications de recueillir des informations sur les habitudes d'utilisation, les préférences et potentiellement d'autres données sensibles des utilisateurs. Cette pratique a suscité des inquiétudes quant à la confidentialité et à la sécurité des données personnelles.
Évolution des politiques de confidentialité et renforcement des contrôles
Face à ces préoccupations croissantes, les géants de la technologie ont progressivement renforcé les contrôles d'accès aux données sensibles. Des mises à jour successives des systèmes d'exploitation ont limité la capacité des applications à accéder librement à la liste des applications installées. Ces changements visent à protéger la vie privée des utilisateurs et à réduire les risques liés à la collecte non autorisée de données.
Depuis 2022, avec Android 11, Google a supprimé cet accès aux développeurs d'applications. Dans le cadre de la nouvelle politique de visibilité des paquets, les applications ne doivent voir les autres applications installées que si elles sont essentielles à leur fonctionnalité de base. Les développeurs doivent également déclarer explicitement ces applications dans le fichier AndroidManifest.xml, un fichier de configuration obligatoire pour toutes les applications Android.
Pour des cas d'utilisation extrêmement spécifiques tels que les gestionnaires de fichiers, les navigateurs ou les applications antivirus, Google accorde une exception en autorisant QUERY_ALL_PACKAGES, ce qui permet d'avoir une visibilité totale sur les applications installées.
Malgré ces mesures, qu'en est-il réellement ?
Dans un billet, Pea Bee s'est laissé aller à une étude locale de la situation en Inde. Ci-dessous, un extrait de son billet :
Je n'utilise pas Android comme téléphone principal, mais j'en ai un de rechange et j'étais vraiment curieux de savoir quelles applications d'entreprises indiennes avaient vérifié les autres applications que j'avais installées.
J'ai donc téléchargé quelques douzaines d'applications indiennes qui me venaient à l'esprit et j'ai commencé à lire leurs fichiers manifestes. Je suis sûr qu'elles respecteront ma vie privée et qu'elles n'interrogeront que les applications essentielles à leur fonctionnalité de base. 🙃
Il convient de reconnaître qu'il existe des raisons légitimes pour qu'une application vérifie quelles autres applications sont installées sur votre téléphone. Par exemple, une application peut vérifier quelles applications UPI sont installées afin d'afficher des options de paiement pertinentes. La plupart des fichiers manifestes que j'ai examinés contenaient des vérifications concernant ces applications. Certains recherchaient également des applications de clonage ou des applications multi-comptes, probablement à des fins de sécurité et de détection des fraudes. Tous ces cas d'utilisation sont acceptables.
Mais quelques entreprises indiennes sont allées plus loin dans ces vérifications.
Swiggy
Commençons par Swiggy. Son fichier manifeste contient 154 noms de paquets, ce qui lui permet d'interroger les applications présentes sur mon téléphone.
Je ne sais même pas par où commencer pour décortiquer cette folie. En quoi le fait de savoir si j'ai installé l'application Xbox ou Playstation sur mon téléphone est-il essentiel à la fonctionnalité de base de Swiggy ? En quoi le fait de savoir si j'ai l'application Naukri ou Upstox les aidera-t-il à livrer des courses à ma porte ?
Le large éventail de catégories d'applications dans cette liste suggère fortement que Swiggy recueille des données sur les applications installées à des fins de profilage des utilisateurs et de construction d'un profil comportemental de leurs clients. Cela semble aller à l'encontre des politiques du Play Store qui considère la liste des applications installées comme des données personnelles et sensibles de l'utilisateur.
Cela m'a rappelé ce ppt de Blume Ventures - celui dont les comptes twitter à coche bleue vivant dans certains codes pin de Bengaluru discutent passionnément entre eux pendant une semaine chaque année. Il contenait cette diapositive intéressante sur les applications utilisées par les différents Indiens :
Swiggy interroge la plupart de ces applications et bien plus encore sur votre téléphone. Il sait non seulement à quelle Inde vous appartenez, mais aussi où vous vous situez exactement.
Zepto
Parlons maintenant d'une autre application, et c'est le suspect habituel, le champion incontesté Zepto. Elle a répertorié 165 applications à vérifier sur votre appareil.
De Netflix à Bumble en passant par Binance, la liste comprend presque toutes les applications populaires, toutes catégories confondues. Il a récemment été signalé que Zepto affichait des prix différents pour les utilisateurs d'iOS et d'Android. Grâce à ces données, ils peuvent également afficher des prix différents pour les différents téléphones Android, ce que certains clients constatent déjà.
Même si Swiggy et Zepto doivent déclarer ces applications à interroger dans le fichier manifeste, en tant qu'utilisateur, vous n'avez aucune visibilité sur cette liste lorsque vous téléchargez leurs applications depuis le Play Store.
Liste pour leurs livreurs
J'ai également analysé les applications de Swiggy et de Zepto pour leurs livreurs. La liste des requêtes de l'application est différente de celle de leurs applications grand public. Dans les deux cas, il s'agit de vérifier pour quelles autres entreprises travaillent les livreurs. Voici la liste de Zepto :
Mais Swiggy va encore plus loin : elle vérifie également la présence d'applications de prêts personnels, d'applications de finances personnelles et surveille même les applications telles que Ludo King ou Carrom Pool sur les téléphones de ses livreurs.
Ne pouvons-nous même pas jouer à Ludo en paix sans être espionnés par nos employeurs ? Est-ce que même les temps d'arrêt doivent être suivis par Swiggy ? Il est embarrassant que Swiggy ressente le besoin d'inclure ces requêtes d'application ridicules sur les téléphones de ses livreurs.
En ce qui concerne les applications de prêt personnel en Inde, leurs pratiques prédatrices sont bien documentées. Il y a quelques années, une vaste opération de répression a conduit à la suppression de milliers d'applications de ce type sur le Play Store. J'ai jeté un coup d'œil à certaines d'entre elles qui existent encore.
Kreditbee est l'une des meilleures applications dans le domaine des prêts personnels sur le Play Store, avec plus de 50 millions de téléchargements. Et pouvez-vous croire que leur application vérifie la présence de 860 applications installées sur votre téléphone ? 860 !!! Je suis désolé, il vous faudra peut-être plisser les yeux ou zoomer un peu pour voir cette liste.
Je n'ai fait que survoler cette liste - il y a tout simplement trop d'applications. J'espère que quelqu'un qui lira ces lignes pourra en faire une analyse approfondie. C'est probablement dû à la bulle dans laquelle je vis, mais je n'avais même pas entendu parler de la plupart de ces applications. Même si la plupart d'entre elles ont des dizaines de millions de téléchargements.
Au-delà des catégories habituelles, je vois qu'il y a des contrôles pour des applications comme Tamil Calendar, Odia Calendar, Qibla Direction Finder, mandir apps, astrology apps. Ils savent ce qu'ils font.
Il y a « Jodii for Diploma, +2,10 below », une application matrimoniale pour ceux qui n'ont pas terminé leurs études secondaires. Elle compte plus de 10 millions de téléchargements.
Il y a aussi « गाय भैंस खरीदें बेचें Animall » (marché d'achat/vente de vaches ?) qui compte également plus de 10 millions de téléchargements.
Cette liste d'applications est une fenêtre sur la façon dont une grande partie de l'Inde utilise son téléphone - sa vie quotidienne, ses habitudes et ses priorités.
Les implications pour la vie privée et la sécurité
Malgré les améliorations apportées, certaines applications continuent de contourner les restrictions en utilisant des méthodes sophistiquées pour recueillir des informations sur les autres applications installées. Ces pratiques peuvent conduire à la création de profils détaillés des utilisateurs, exposant potentiellement des informations sensibles. De plus, la présence d'applications malveillantes sur des sources non officielles peut augmenter le risque d'accès non autorisé aux données personnelles.
Recommandations pour protéger votre vie privée
Pour minimiser les risques liés à la confidentialité et à la sécurité de vos données personnelles, il est recommandé de :
- Vérifier les autorisations des applications : Avant d'installer une application, examinez attentivement les autorisations requises et assurez-vous qu'elles sont compatibles avec les fonctionnalités proposées.
- Mettre à jour régulièrement votre système d'exploitation et vos applications : Les mises à jour contiennent souvent des correctifs de sécurité essentiels pour protéger vos données.
- Télécharger des applications à partir de sources fiables : Limitez l'installation d'applications aux boutiques officielles, comme Google Play Store ou Apple App Store, pour réduire le risque d'exposition à des applications malveillantes.
- Utiliser des solutions de sécurité mobile : Envisagez d'installer des applications de sécurité réputées qui peuvent détecter et bloquer les menaces potentielles.
Conclusion
La transparence concernant les données collectées par les applications et le contrôle que nous, en tant qu'utilisateurs, exerçons sur ces données sont essentiels pour garantir une expérience mobile sécurisée et respectueuse de la vie privée. En restant vigilants et informés, nous pouvons mieux naviguer dans l'écosystème numérique tout en protégeant nos informations personnelles.
Source : Pea Bee
Et vous ?
Dans quelle mesure les utilisateurs sont-ils conscients des autorisations que les applications demandent ? Est-ce que les utilisateurs prennent le temps de lire les permissions avant d'accepter ?
Répondre avec citation
Envoyé par ericb2
Partager