Passer au contenu

Plus de 18 000 applis Android collectent des identifiants… sans en avoir le droit

D’après les conditions d’utilisation de Google, seul l’identifiant publicitaire d’Android peut être utilisé pour le ciblage comportemental. Mais beaucoup d’applications contournent cette règle en transmettant aux régies publicitaires des identifiants persistants.   

Souriez, vous êtes ciblés ! Depuis 2013, Android permet aux utilisateurs de réinitialiser autant de fois qu’ils le souhaitent l’identifiant publicitaire du système (« Ad ID ») qui permet aux annonceurs d’effectuer un profilage anonyme de l’utilisateur. Cette option est censée donner aux publiphobes un moyen de limiter le ciblage comportemental, parce qu’avec chaque réinitialisation, le profil publicitaire est effacé.

Voilà pour la théorie. En pratique, cette option ne sert pas à grand-chose, car beaucoup d’applications collectent en parallèle tout un tas d’autres identifiants : le numéro de série de l’appareil, le numéro de série de la carte SIM, l’IMEI, l’adresse MAC du module Wi-Fi, l’identifiant du système d’exploitation Android ID, etc. Comme ces identifiants sont persistants, il sera toujours possible de raccrocher le nouvel identifiant publicitaire à un profil existant que l’on pourra donc continuer à enrichir.

Ainsi, l’association AppCensus a détecté sur le Play Store plus de 18 000 applications qui collectaient en parallèle ce type d’identifiants pour les transmettre à des serveurs appartenant à des régies publicitaires. Parmi les applications les plus populaires figurent le logiciel de sécurité Clean Master, l’agrégateur de flux Flipboard ou les jeux Temple Run 2 et Angry Birds Classic.

AppCensus – Les applis les plus populaires collectant des identifiants persistants

Cette collecte d’identifiants est évidemment contraire aux règles édictées par Google. Selon les conditions d’utilisation du géant du Web, seul l’identifiant publicitaire peut être utilisé à des fins de ciblage publicitaire. Les autres identifiants peuvent éventuellement être collectés pour des raisons bien spécifiques, comme la lutte contre la fraude. Dans ce cas, l’utilisateur doit toujours donner son accord au préalable, et cette collecte ne doit en aucun cas se faire dans un but publicitaire.

Mais à quoi servent ces règles si elles ne sont pas appliquées ? En septembre dernier, l’association AppCensus avait déjà envoyé une liste d’environ 17 000 applications Android qui collectaient des identifiants persistants, mais elle n’a jamais eu de réponse de la part du géant de Mountain View.
Depuis, un millier d’applications contrevenantes se sont ajoutées à la liste. Auprès des sites d’information, Google assure pourtant qu’il prenait ce sujet « très au sérieux » et qu’il était constamment en train d’examiner des applications pour vérifier la bonne application de ces règles.

Certains éditeurs épinglés dans cette liste ont, de leur côté, contesté l’analyse d’AppCensus. Ainsi, la collecte de l’Android ID par Cheetah Keyboard, Clean Master et Flipboard ne se ferait pas dans un cadre publicitaire. La collecte de l’IMEI de Battery Doctor, par ailleurs, ne se ferait plus depuis plusieurs mois, suite à une mise à jour de l’application. De son côté, Rovio, éditeur d’Angry Birds, aurait ouvert une enquête interne.  

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN