Les publicitaires ont trouvé un nouveau truc pour nous marquer à la culotte : via la liste de nos applis mobiles. Sur Android, cette information est assez facilement accessible au travers de l’interface de programmation Installed Application Methods (IAM). Il suffit d’invoquer des méthodes telles que getInstalledApplications ou getInstalledPackages pour l’obtenir. Ces méthodes peuvent être utilisées librement, sans avoir besoin de recueillir le consentement de l’utilisateur.
Or, des études universitaires publiées ces dernières années ont montré que les applis mobiles que nous utilisons permettaient de nous caractériser avec une assez bonne précision. Le sexe pouvait ainsi être déduit avec une probabilité de 82 %, suivi de la classe d’âge (77%), de la couleur de peau (72%), de l’état civil (72%), de l’existence d’enfants (63%) et de la tranche de revenus (60%). En théorie, c’est donc plutôt pratique pour faire du profilage publicitaire.
Visiblement, les agences de pub sont désormais passées à la pratique. Quatre chercheurs européens ont analysé l’usage réel de l’interface IAM dans plus de 22000 applications Android (1/3 open source, 2/3 commerciales). Résultat : les appels IAM proviennent principalement de librairies embarquées, et les librairies qui les utilisent le plus sont celles à caractère publicitaire. Ainsi, les chercheurs ont détecté 56 librairies publicitaires qui récupèrent des données au travers de cette interface de programmation. Au total, elles représentent 36 % de toutes les librairies utilisant l’interface IAM.
Evidemment, il est difficile de savoir dans quel but précis ces méthodes sont utilisées. Mais au regard des études passées, il est très probable que c’est pour le ciblage marketing. Par ailleurs, cette tendance est croissante. En 2016, des chercheurs s’étaient déjà intéressés aux librairies publicitaires utilisant l’IAM, mais ils n’en avaient trouvé que 28. Et en 2011, il n’y en avait qu’une poignée.
Face à cette situation, il faut évidemment se poser la question de la protection des données personnelles, surtout si l’on considère la loi européenne RGPD. Faire la morale aux développeurs d’applications ne sert pas à grand-chose. L’étude montre qu’ils ne sont souvent pas au fait de cette récolte de données. La plupart d’entre eux intègrent des librairies dans leur code sans trop savoir ce qu’il y a dedans. Et encore faudrait-il que l’éditeur de la librairie le précise.
Google crée un nouveau droit d’accès
Mais les choses commencent à bouger côté Google. D’après les chercheurs, l’éditeur va créer dans Android 11 un nouveau droit d’accès baptisé « Query_all_packages ». L’application devra l’avoir pour utiliser l’interface IAM de manière globale. Cependant, cette nouvelle autorisation ne semble pas non plus nécessiter le consentement des utilisateurs à ce stade. Pour les chercheurs, le problème reste donc entier « l’accès aux IAM continuera de se faire à l’insu de l’utilisateur final », soulignent-ils. Une autre solution serait de créer un réglage dans les paramètres permettant à l’utilisateur qui le souhaite de désactiver l’accès à ces informations.
Précisons enfin que l’usage d’IAM est parfois parfaitement légitime. Les lanceurs d’applications ou les jauges de batterie ne pourraient pas s’en passer. C’est donc une interface qu’il faut préserver, mais dont l’utilisation doit être davantage réglementée.
Source: recherche universitaire
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
