Des outils de navigation qui transmettent automatiquement la localisation du téléphone à leur fournisseur. Des services de réservation d’hôtel récupèrant l’adresse mail et le numéro de la carte de crédit. Oui, les applications pour smartphones sont pour le moins fouineuses. Si elles ont besoin de certaines données pour bien fonctionner, elles mettent aussi la main sur des informations personnelles qui ne les regardent en rien. Pire, il leur arrive de les envoyer automatiquement à des publicitaires.
Afin de juger l’ampleur de ces incursions dans notre vie privée, nous avons demandé à l’entreprise de sécurité informatique Scip AG à Zurich de tester 19 applications populaires aussi bien compatibles sur Android que iOS. Pendant deux semaines, les experts ont alors analysé les transmissions d’informations s’opérant à l’insu du propriétaire, la présence d’un cryptage avant leur envoi ou encore d’éventuels transferts effectués directement à des tiers.
C’est tout ou rien
Le résultat est peu réjouissant: sur 19 applications, 9 demandent l’accès à des données qui ne leur sont pas utiles, 11 envoient des informations non cryptées à l’insu de leur utilisateur et 15 transmettent des renseignements à des annonceurs ou à d’autres partenaires.
Certes, les prestataires demandent, avant l’installation, diverses permissions pour accéder aux contacts, au calendrier, aux messages SMS ou à la liste d’appels notamment. Mais les consommateurs n’ont pas vraiment le choix, à moins de renoncer totalement au service. L’application de Coop requiert ainsi 12 de ces autorisations et celle de Facebook pas moins de 42!
Une lampe de poche qui vous trace
Près de la moitié des programmes exigent donc des informations dont elles n’ont pas besoin pour fonctionner. Brightest Lampe de Poche, par exemple, veut savoir où se trouve l’utilisateur. Et WeatherPro peut prendre des photos ou des vidéos. Enfin, le jeu Moi, moche et méchant exige un accès à l’historique et aux favoris internet.
Et que font WhatsApp, Skype & Co de nos informations personnelles? Impossible de dire. Mais, et cela est inquiétant, 11 des 19 applications disséquées envoient une partie de nos données sans les crypter. Or, il suffit d’un simple logiciel téléchargeable sur le net pour permettre à une personne malintentionnée de les intercepter. En espionnant un utilisateur de Booking, par exemple, il pourrait savoir où celui-ci planifie de passer ses prochaines vacances.
Fort heureusement, les 19 programmes analysés transmettent les éléments sensibles (mots de passe, adresse électronique, etc.) en les chiffrant. Or, selon les experts de Scip AG, les éditeurs pourraient sans problème appliquer ce processus à tout ce qui sort du smartphone. «Le cryptage des données n’est, à l’heure actuelle, plus un luxe, mais bel et bien un droit pour les consommateurs», estime Stephan Friedli.
Sabine Rindlisbacher / Marc Mair-Noack / ld
Profilage des utilisateurs
Les informations récoltées dans nos téléphones sont parfois aussi transmises à d’autres entreprises, comme des agences de publicité ou de marketing. Quinze des 19 applications de notre échantillonnage sont concernées! Il s’agit, par exemple, du nom du fournisseur internet, de la localisation de l’appareil ou de l’adresse mail de son détenteur. Certains programmes, comme WeatherPro, local.ch ou celui de Migros, recourent au service Google Analytics qui trace le comportement web des internautes. Ces éléments sont alors stockés sur des serveurs aux Etats-Unis.
Autre révélation du test: l’application des CFF envoie les données de géolocalisation en clair à des sociétés de publicité. Par conséquent, elles savent où se trouvent les utilisateurs. L’ex-régie fédérale se justifie en arguant que cette fonction permet de soumettre des «offres régionales». Et d’ajouter qu’elle peut être désactivée.
De leur côté, Migros et Coop expliquent que la surveillance du comportement de navigation sur internet des utilisateurs vise à «améliorer constamment l’application». Un justificatif qu’on retrouve dans les réponses apportées par La Poste et par Swisscom qui gère local.ch.
En pratique
Comment se protéger?
➛Android
Dans le Google Play Store, on peut examiner, avant le téléchargement, quelles autorisations sont exigées par une application.
Généralement, seuls les utilisateurs aux connaissances avancées sauront restreindre l’accès des applications à certaines données après son installation. Les appareils des marques OnePlus et Huawei disposent d’une fonction plus simple pour y parvenir.
➛iPhone
Dans le magasin iTunes d’Apple, la liste des autorisations requises n’est disponible qu’au moment où l’on installe l’application.
Les utilisateurs peuvent toutefois révoquer chaque permission individuellement via l’option Paramètres ➛Confidentialité. En outre, il est possible de désactiver la géolocalisation dans le même menu sous «Service de localisation» ainsi que dans les «Services système».
Attention: une simple mise à jour d’une application peut impliquer de nouvelles autorisations. C’est le cas notamment de la dernière version de Facebook qui demande l’accès à tous les textes copiés lors de l’utilisation du téléphone.
