Deux applications de scan de codes graphiques, Bahntech sur iPhone et Barcode Reader sur Android ont été testées. L'étude du WSJ conclut que Bahntech envoie des informations sur l'identifiant du téléphone (IMEI), et celle de Barcode Reader sur la localisation. Or si l'information à propos de Bahntech (iPhone) n'a pas suscité de réactions, celle sur Barcode Reader (Android) s'est vue largement commentée par les développeurs de l'application, qui, rappelons-le, est open source : Zxing.
Sean Owen nous explique ainsi que Barcode Reader n'envoie aucune information de localisation à Google et que l'étude du WSJ est erronée...
En fait, lorsque l'on scanne un code à barre (EAN/UPC, ISBN etc.), l'application Barcode Reader reconnait que c'est un produit dont la nomenclature du code est normée, et propose ainsi d'accéder à des contenus à partir d'autres applications (Recherche de livre si l'on scanne un livre, Google Shopper si l'on scanne un produit de grande conso, une canette de Perrier, comme pour cet exemple) :
Et effectivement, Google Shopper doit envoyer des informations sur la localisation de l'utilisateur (et peut être d'autres, je ne sais pas).
On se rend compte combien la privacy devient (déjà) un inextricable bordel sur portable : En soi, Barcode Reader n'envoie aucune information. "The app collects zero information. I don’t have a server to stash your info. I don’t care what your bookmarks are or what your aunt’s phone number is!". Mais si à partir de l'application Barcode Reader, on accède à l'application Google Shopper, là, des informations sont envoyées. Comment l'utilisateur est-il prévenu ? La responsabilité incombe-t-elle à Barcode Scanner, qui est l'application utilisée en premier, ou Google Shopper ? Les données utilisées par les applications que l'on télécharge sur Android sont notifiées lors de la première installation :
Mais une fois l'application installée, il n'est plus possible d'en analyser le comportement. C'est en partant de ce constat que Taintdroid a été developpé par une équipe de chercheurs provenant d'Intel Labs, Penn State, et Duke University et supporté par la U.S. National Science Foundation. La plateforme Android a été choisie parce que l'OS est open source.
Taintdroid est un système de monitoring en temps réel qui affiche dans la barre de notification quelles données sont utilisées et leur destination :
Une première enquête menée en 2010 portait sur les 50 applications gratuites les plus populaires dans chaque catégorie de l'Android Market, soit 1100 applications au total. 358 nécessitaient une connexion à l'Internet ainsi qu'un accès à la localisation, l'appareil photo ou d'autres données. Parmi ces 358 applications, 30 ont été choisies de manière aléatoire tout en représentant toutes les catégories de l'Android Market.
Et les nominés furent :
The Weather Channel (News & Weather); Cestos, Solitaire (Game); Movies (Entertainment);
Babble (Social); Manga Browser (Comics), Bump, Wertago (Social); Antivirus (Communication); ABC — Animals, Traffic Jam, Hearts, Blackjack, (Games); Horoscope (Lifestyle); Yellow Pages (Reference); 3001 Wisdom Quotes Lite, Dastelefonbuch, Astrid (Productivity), BBC News Live Stream (News & Weather); Ringtones (Entertainment), Layar (Lifestyle); Knocking (Social); Coupons (Shopping); Trapster (Travel); Spongebob Slide (Game); ProBasketBall (Sports); MySpace (Social); Barcode Scanner, ixMAT (Shopping); Evernote (Productivity).
Sur ces 30 applications, 20 ont été épinglées... (clic sur l'image) :
L'étude précise bien qu'il s'agissait d'analyser le comportement des applications tout en prenant compte l'accord explicite ou implicite de l'utilisateur. Les applications incriminées sont celles qui envoient des informations à l'insu de l'utilisateur, sans jamais l'avoir prévenu, soit 2 applications sur 3...