Comment les annonceurs découvrent quelles applications Android vous utilisez

Apprenez-en plus sur les identifiants d’appareil et les annonceurs qui vous espionnent par le biais d’applications Android. Découvrez aussi si l’on peut limiter cet espionnage.

Nous avons déjà parlé des mécanismes de la publicité sur Internet et des astuces utilisées par les réseaux publicitaires pour en savoir plus sur les sites Internet que vous visitez. Mais votre vie virtuelle ne se résume pas seulement aux sites Internet. Il est très probable que vous passiez une bonne partie de votre temps à utiliser des applications mobiles qui, elles aussi, gagnent de l’argent grâce aux publicités. Tout comme les sites Internet, elles coopèrent avec les réseaux publicitaires.

Les applications mobiles fournissent des informations sur votre appareil aux annonceurs, même celles que Google ne leur permet pas d’utiliser. Ils obtiennent ainsi un dossier complet sur vous et peuvent vous proposer des annonces personnalisées.

Quelles informations peuvent aider à suivre votre dispositif Android ?

Que peuvent dire les applications à un réseau publicitaire au sujet de votre smartphone ? Tout d’abord, qu’elles sont installées sur l’appareil. Grâce aux informations fournies par un certain nombre d’applications, le réseau publicitaire peut savoir quels sont vos centres d’intérêt et quelles publicités sont les plus susceptibles de vous intéresser. Par exemple, si vous prenez beaucoup de selfies, et que vous avez Instagram et Snapchat sur votre téléphone, vous apprécierez peut-être les applications offrant des filtres et des effets.

Les réseaux publicitaires utilisent les identifiants pour savoir exactement quel appareil exécute chaque application. Chaque smartphone ou tablette Android possède normalement plusieurs identifiants, et la plupart d’entre eux n’ont jamais été conçus pour aider les annonceurs.

Ainsi, les numéros de série IMEI uniques permettent d’identifier les téléphones dans les réseaux mobiles et notamment de bloquer les appareils volés. Un numéro de série peut aider à retrouver tous les gadgets d’un même lot défectueux pour les rappeler en magasin. L’adresse MAC, un autre identifiant unique, rend possible la mise en réseau et peut notamment être utile pour restreindre la liste des gadgets autorisés à se connecter en Wi-Fi chez vous. Enfin, les développeurs d’applications utilisent des identifiants Android (SSAIDs) pour gérer les licences de leurs produits.

Pendant très longtemps, il n’existait pas d’identifiant publicitaire distinct. Les applications partageaient donc ces identifiants avec leurs partenaires. Les publicités personnalisées étaient inévitables pour les utilisateurs : les numéros IMEI ou MAC sont des codes uniques permettant d’identifier facilement tout appareil. Chaque fois qu’un réseau publicitaire en reçoit un, le réseau comprend que l’application a été installée sur le téléphone en question.

En théorie, ces codes sont modifiables ; il existe des applications pour cela. Toutefois, les modifier n’est pas si facile. Pire encore : cela met votre téléphone en danger. Le problème est que vous avez besoin d’un accès root pour faire ce genre de choses. De plus, rooter votre périphérique le rend vulnérable. Des manipulations telles que le réglage de l’IMEI sont illégales dans certains pays.

Il est plus facile de changer l’identifiant Android : restaurez tout simplement les paramètres d’usine de votre téléphone ou tablette. Cependant, une fois que vous aurez fait cela, vous devrez tout réinstaller, y compris toutes vos applications et vous connecter à chacune d’entre elles. Cela peut être fastidieux ; peu d’utilisateurs sont donc prêts à le faire régulièrement.

Identifiant publicitaire — théorie

En 2013, pour parvenir à un compromis entre les utilisateurs d’Android et l’industrie de la publicité, Google a introduit un identifiant publicitaire spécifique. Les services Google Play attribuent l’identifiant et les utilisateurs peuvent le réinitialiser et en créer un nouveau si besoin. Pour ce faire, ils doivent se rendre dans Paramètres → Google → Annonces → Réinitialiser l’identifiant publicitaire. D’une part, l’identifiant permet aux réseaux publicitaires de connaître les habitudes et les activités des utilisateurs. D’autre part, si l’idée que des annonceurs vous espionnent vous dérange, alors vous pouvez facilement réinitialiser l’identifiant à tout moment.

Le règlement de la boutique Google Play stipule que l’identifiant publicitaire Android ne doit être utilisé qu’à des fins de publicité. La plateforme n’interdit pas de connecter cet identifiant à d’autres identifiants, mais les applications doivent obtenir le consentement des utilisateurs.

Nous nous attendions à ce que si les publicités personnalisées ne vous dérangent pas, vous laissiez l’identifiant publicitaire et autorisiez même les applications à l’associer à tout ce qu’elles veulent. Si, au contraire, cela vous dérange, vous pouvez interdire que cet identifiant soit associé à d’autres identifiants et le réinitialiser de temps à autre, déconnectant ainsi votre appareil du dossier précédemment collecté. Hélas, la réalité va à l’encontre de cette attente.

Identifiant publicitaire — réalité

Selon le chercheur Serge Egelman, plus de 70 % des applications Google Play utilisent au moins un identifiant supplémentaire sans notification. Certaines d’entre elles, comme par exemple 3D Bowling, Clean Master et Cam-Scanner ont été téléchargées par des millions de personnes.

La plupart d’entre elles utilisent des identifiants Android, mais les numéros IMEI, les adresses MAC et les numéros de série sont également utiles. Certaines applications envoient simultanément trois identifiants ou plus à leurs réseaux partenaires. Par exemple, le jeu 3D Bowling utilise l’identifiant publicitaire, l’IMEI et l’identifiant Android.

De telles pratiques rendent l’idée même des identifiants publicitaires inutile. Même si vous n’aimez pas être espionné et que vous réinitialisez constamment votre identifiant publicitaire, le réseau publicitaire utilisera d’autres identifiants plus persistants pour connecter un nouvel identifiant publicitaire à votre profil existant.

Kaspersky détecte un malware dans l’application CamScanner

Même si un tel comportement va à l’encontre des règles de Google Play, il n’est pas facile de traquer les applications qui abusent de cet identifiant. Google vérifie toutes les applications avant leur sortie, mais de nombreux auteurs moins honnêtes ont trouvé des solutions. Même les mineurs trouvent leur bonheur dans la boutique. Il n’est pas étonnant que les applications dépourvues de fonctionnalités ouvertement malveillantes passent généralement inaperçues.

Google ne peut pas simplement refuser que ces applications aient accès aux identifiants d’appareil ; ils ne sont pas seulement utiles à la publicité. Par exemple, en refusant aux applications mobiles l’accès à l’identifiant Android, Google empêcherait les développeurs d’applications de protéger leurs produits des copies illégales, portant ainsi atteinte à leurs droits.

Lutte contre les publicités dérangeantes

Bien sûr, Google a introduit des mesures pour limiter l’abus d’identifiant. Ainsi, à partir d’Android Oreo, chaque application aura son propre identifiant Android. Pour les réseaux publicitaires qui utilisent cet identifiant au lieu de l’identifiant publicitaire, votre Instagram semblera être installé sur un appareil et votre Snapchat sur un autre, rendant ainsi ces données inutiles pour un ciblage précis.

Cependant, les IMEI, les numéros de série et les adresses MAC ne peuvent pas recevoir une telle protection, et le marché est plein de smartphones et de tablettes qui utilisent des versions plus anciennes d’Android et ne seront jamais mis à jour vers Android Oreo. Nous vous conseillons donc de limiter la collecte des données en gérant vos applications.

  • Supprimez régulièrement les applications indésirables ; moins il y a d’applications installées, moins les réseaux publicitaires collectent de données.
  • Ne donnez pas d’autorisations inutiles aux applications que vous choisissez de conserver. Cette précaution ne vous débarrassera pas complètement de l’espionnage, mais elle empêchera au moins les applications de communiquer votre IMEI à n’importe qui. Dans ce cas, c’est l’autorisation Téléphone qui donne accès aux applications à l’IMEI. Cette même autorisation permet aux applications de connaître votre numéro de téléphone, de voir l’historique de vos appels, de passer des appels à vos frais et bien plus encore. Nous vous recommandons de ne pas l’autoriser.
Conseils