Les applications du système, installées par défaut sur votre smartphone et généralement impossibles à désinstaller, ont tendance à se faire discrètes. Alors que les utilisateurs ont au moins le choix avec d’autres applications et services, dans ce cas le suivi et la surveillance du dispositif sont établis au moment même de la fabrication.
Ce constat a été fait lors d’une récente étude conjointe des chercheurs de l’Université d’Édimbourg (UK) et du Trinity College de Dublin (Irlande). Ils ont analysé les smartphones de quatre fabricants connus afin de déterminer quelle quantité de données ils transmettent. Comme point de référence, ils ont comparé les résultats avec des systèmes d’exploitation open source basés sur Android : LineageOS et /e/OS. Voici ce qu’ils ont découvert.
Méthode de recherche
Pour que cette étude soit irréprochable, les chercheurs ont établi un scénario d’exécution assez strict pour les quatre smartphones. Un que les utilisateurs ne devraient jamais rencontrer dans la vie réelle : ils sont partis du principe que chaque smartphone ne serait utilisé que pour passer des appels et envoyer des SMS. Ils n’ont installé aucune application. Les smartphones ne disposaient que des applications par défaut du fabricant.
De plus, cet utilisateur imaginaire a répondu que non à toutes les questions similaires à » Souhaitez-vous améliorer le service en transférant des données ? » qui apparaissent généralement lorsque l’utilisateur allume le dispositif pour la première fois. Les chercheurs n’ont activé aucun des services optionnels du fabricant, comme le stockage sur le Cloud ou la fonctionnalité Localiser mon appareil. En d’autres termes, les smartphones étaient aussi confidentiels et purs que possible pendant cette étude.
La technologie de base pour » l’espionnage et la localisation » est la même dans toutes les recherches. Le smartphone se connecte à un nano-ordinateur Raspberry-Pi, qui agit comment point d’accès Wi-Fi. Le programme installé sur le Raspberry-Pi intercepte et déchiffre le flux de données du téléphone. Ensuite, les données sont à nouveau chiffrées et envoyées au destinataire, qui peut être le fabricant du téléphone, de l’application ou du système d’exploitation. Dans l’absolu, les auteurs de cette étude ont réalisé une attaque (bienveillante) de l’homme du milieu.
La bonne nouvelle est que toutes les données transmises étaient chiffrées. Il semblerait que l’industrie ait enfin résolu son fléau de dispositifs, de programmes et de serveurs qui communiquent en texte clair, sans protection. En réalité, les chercheurs ont consacré beaucoup de temps et d’énergie au déchiffrage et à l’analyse des données pour savoir quelles informations étaient envoyées.
Les chercheurs n’ont pas vraiment rencontré de problèmes par la suite. Ils ont complètement effacé les données sur chaque dispositif et ont effectué la configuration initiale. Ensuite, sans se connecter à un compte Google, ils ont laissé les smartphones allumés pendant quelques jours et ont surveillé le transfert des données. Puis ils se sont connectés à un compte Google, ont autorisé la géolocalisation et ont vérifié les paramètres du téléphone. Lors de chaque étape, ils ont regardé quelles données étaient envoyées et à qui. Ils ont testé six smartphones au total : quatre ayant le micrologiciel du fabricant et deux avec les versions open source basées sur Android, LineageOS et /e/OS.
Qui recueille des données ?
Sans surprise, les chercheurs ont découvert que les fabricants de smartphones étaient les principaux collecteurs. Les quatre dispositifs qui utilisent le micrologiciel d’origine (et un ensemble de programmes préinstallés) ont fait suivre des données télémétriques, et certains identifiants uniques comme le numéro de série du dispositif, au fabricant. Les auteurs de cette étude ont établi les limites entre le micrologiciel standard et les programmes personnalisés.
Par exemple, LineageOS a une option qui envoie les données aux développeurs (notamment pour contrôler la stabilité opérationnelle des programmes) mais cette transmission de données peut être interrompue en la désactivant. Quant aux dispositifs qui suivent les normes d’usine, bloquer l’envoi de ces données lors du démarrage initial peut réduire la quantité de données envoyées mais ne peut pas complètement désactiver la transmission.
Les développeurs des applications préinstallées sont les suivants à recevoir des données. Là encore, nous trouvons une nuance intéressante : selon les règles de Google, les applications installées à partir de Google Play doivent utiliser un identifiant spécifique pour suivre l’activité de l’utilisateur : l’identifiant publicitaire de Google. Si vous voulez, vous pouvez modifier cet identifiant dans les paramètres du téléphone. Pourtant, cette exigence ne s’applique pas aux applications que le fabricant préinstalle, et qui utilisent des identifiants uniques pour recueillir beaucoup de données.
Par exemple, une application de réseau social préinstallée envoie des données sur le propriétaire du téléphone à ses propres serveurs, et ce même si le propriétaire ne l’a jamais ouverte. Un autre exemple plus intéressant : le système du clavier d’un smartphone envoie des données qui indiquent quelles applications sont en cours d’exécution sur le téléphone. Plusieurs dispositifs viennent aussi avec des applications de l’opérateur qui collectent des informations sur l’utilisateur.
Enfin, les applications du système de Google méritent une mention particulière. La grande majorité des téléphones incluent les Services Google Play et Google Play Store, mais aussi YouTube, Gmail, Maps et quelques applications installées par défaut. Les chercheurs ont constaté que les applications et les services de Google collectent beaucoup plus de données que n’importe quel autre programme préinstallé. Le graphique ci-dessous montre la proportion de données envoyées à Google (à gauche) et à tous les autres destinataires de données télémétriques (à droite) :
Quelles données sont envoyées ?
Dans cette partie, les chercheurs se sont à nouveau concentrés sur les identifiants. Toutes les données ont un genre de code unique qui permet d’identifier l’expéditeur. Parfois c’est un code à usage unique ; une méthode qui, en termes de confidentialité, est la plus correcte pour obtenir des statistiques, notamment sur la stabilité opérationnelle du système, et que les développeurs trouvent utile.
Il y a aussi des identifiants à long-terme et persistants qui violent la confidentialité de l’utilisateur et qui sont recueillis. Par exemple, les propriétaires peuvent modifier manuellement l’identifiant Google susmentionné, mais très peu le font. Ainsi, nous pouvons considérer que cet identifiant, envoyé à Google et aux fabricants du dispositif, est presque persistant.
Le numéro de série du dispositif, le code IMEI du module radio et le numéro de la carte SIM sont aussi des identifiants persistants. Même si l’utilisateur change de numéro de téléphone ou réinitialise l’appareil, il peut encore être identifié à partir du numéro de série du dispositif et du code IMEI.
Le transfert régulier d’informations sur le modèle du dispositif, le format d’affichage ou la version du micrologiciel du module radio est moins risqué en termes de confidentialité. Les données sont identiques pour la plupart des propriétaires qui ont le même modèle de téléphone. Les données d’activité de certaines applications utilisées par les utilisateurs peuvent révéler beaucoup de choses sur eux. Les chercheurs disent que la frontière est mince entre les données requises pour le débogage de l’application et les informations qui peuvent être utilisées pour créer un profil complet de l’utilisateur, comme pour les publicités ciblées.
Par exemple, il peut être important pour les développeurs de savoir qu’une application consomme beaucoup de batterie et le transfert de ces informations bénéficie à l’utilisateur. Les données relatives à la version des systèmes des programmes installés permettent de déterminer quand une mise à jour doit être téléchargée, ce qui est aussi utile. En revanche, nous nous demandons encore si la collecte de données sur l’heure exacte du début et de fin des appels est utile voire éthique.
La liste des applications installées est un des autres types de données sur l’utilisateur. Cette liste peut fournir beaucoup de renseignements sur l’utilisateur, et notamment sur ces préférences politiques et religieuses.
Regroupement des données des utilisateurs provenant de différentes sources
Malgré leur travail minutieux, les chercheurs n’ont pas pu déterminer exactement comment plusieurs fabricants de téléphones et de logiciels collectent et traitent les données des utilisateurs. Ils ont dû formuler quelques hypothèses.
Hypothèse numéro un : les fabricants de smartphones qui collectent les identifiants persistants peuvent suivre l’activité de l’utilisateur même si ce dernier efface toutes les données sur le téléphone et change de carte SIM.
Hypothèse numéro deux: tous les acteurs du marché peuvent échanger des données et se faire une idée précise des habitudes et des préférences des utilisateurs, notamment en regroupant les identifiants temporaires et persistants ainsi que différents types de données télémétriques. Le déroulement exact de ce processus sort du cadre de cette étude. De même, nous ne savons pas si les développeurs échangent les données ou s’ils les vendent à des agrégateurs tiers.
Conclusions
Le dispositif nommé gagnant en termes de confidentialité s’avère être le téléphone avec la variante d’Android /e/OS, qui utilise son propre analogue des services Google Play et ne transmet aucune donnée. L’autre téléphone avec un micrologiciel open source (LineageOS) n’envoie pas de données aux développeurs mais si à Google puisque les services de ce dernier sont installés sur le téléphone. Ces services sont indispensables pour que le dispositif fonctionne correctement. Certaines applications et de nombreuses fonctionnalités fonctionnent peu ou pas du tout sans les services Google Play.
Quant au micrologiciel de marque déposée des fabricants connus, peu de choses les différencient. Tous collectent un nombre assez important de données, et se servent du bien-être de l’utilisateur comme excuse. Les chercheurs constatent que les fabricants ignorent généralement le fait que l’utilisateur ait refusé la collecte et l’envoi de ces » données d’usage « . Cette situation ne peut changer qu’en ayant une régulation qui assure une plus grande confidentialité pour les consommateurs et, pour le moment, seuls les utilisateurs avancés qui savent comment installer un système d’exploitation spécial (avec des restrictions sur l’utilisation de certains programmes connus) peuvent complètement supprimer la télémétrie.
Quant à la sécurité, la collecte de données télémétriques ne semble pas représenter de menaces directes. Cette situation est radicalement différente de celle des smartphones tiers, sur lesquels un malware peut directement être installé à l’usine.
Le point positif que l’on tire de cette étude est que la transmission des données est assez sécurisée, ce qui complique l’accès pour les personnes externes. Les chercheurs n’ont pas mentionné cet avertissement important : ils ont testé des modèles de smartphones européens avec des logiciels localisés. La situation peut différer ailleurs, selon les lois et les réglementations en termes de confidentialité en vigueur dans le pays.