La CNIL vient de publier les premiers constats d’une expérimentation « in vivo » réalisée au sein du projet Mobilitics et visant à observer les données enregistrées, stockées et diffusées par les applications mobiles.
Actuellement, près de 24 millions de français possèdent un smartphone, selon une étude médiamétrie. Pourtant, les utilisateurs de ce type de terminaux mobiles sont loin de savoir ce qui se passe exactement en matière d’accès aux données personnelles.
Ainsi, la CNIL (Commission Nationale de l’Informatique et des Libertés) et l’INRIA (Institut National de Recherche en Informatique et en Automatique) ont pu mener un projet expérimental baptisé Mobilitics qui consiste à analyser en profondeur les données personnelles enregistrées, stockées et diffusées par un smartphone.
Alors que plusieurs travaux internationaux ont été engagés par différents organismes à travers le monde, ce basant exclusivement sur des analyses dites « in vitro » consistant à sélectionner des applications les plus téléchargées et à les analyser en laboratoire, Mobilitics s’appuie, quant à lui, sur une expérience dite « in vivo » au travers l’analyse des résultats d’un outil développé par l’INRIA capable de détecter et d’enregistrer les accès à des données personnelles par des applications mobiles ou des programmes internes. Cet outil a été installé sur 6 iPhones prêtés à des volontaires de la CNIL qui les ont utilisés comme s’ils leur appartenaient. On note que cette étude porte exclusivement sur des smartphones Apple.
La CNIL précise qu’une étude similaire sera prochainement réalisée sur les smartphones fonctionnant sous le système d’exploitation de Google Android et puis d’autres systèmes afin d’avoir une vision plus globale de l’expérience.
Il ressort de cette expérimentation que sur un total de 189 applications utilisées pendant la phase de test, 176 d’entre elles, soit 93% accèdent au réseau Internet ce qui n’est pas toujours justifié notamment pour les jeux vidéo. 46% des applications installées sur les iPhone de l’étude accèdent à l’identifiant unique Apple ce qui représente 87 applications utilisées et dont 33 l’ont transmis en clair, sans aucun moyen de cryptage ou de sécurité spécifique et 31% utilisent la géolocalisation. 16% accèdent au nom de l’appareil et 10% font appel à des comptes.
Pour autant, Apple a récemment annoncé que les développeurs ne pourraient plus avoir accès à l’identifiant unique proposant, à la place, pour un ciblage publicitaire, un identifiant spécifique. Malgré cela, la CNIL s’interroge sur la notion de l’information et du contrôle par l’utilisateur de ces données. On sait que les « cookies » sont de plus en plus utilisés et demandées par les annonceurs et autres plateformes de marketing afin de pouvoir toucher des cibles plus précisément.
Il existe cependant des solutions telles que celles proposées par l’éditeur Lookout, spécialiste de la sécurité pour les smartphones et les tablettes tactiles, via l’application Lookout Mobile Security qui permet de connaître les applications qui accèdent aux données de géolocalisation, celles qui lisent les SMS, accèdent aux contacts et celles qui lisent les identifiants comme le numéro de téléphone ou le numéro de série du mobile.
Pour la CNIL, il s’agit de respecter l’ensemble des règles applicables à la protection des données, incombant à chaque acteur des écosystèmes proposés par les smartphones. Ainsi, les développeurs d’application(s) doivent intégrer dès la conception de celle(s)-ci les problématiques Informatique et Libertés dans une démarche de « privacy by desgin ». Les plateformes de téléchargement d’application doivent inventer les modes innovants d’information des utilisateurs et de recueil des consentements jugeant que le mode actuellement proposé du « à prendre ou à laisser » n’est pas satisfaisant.
D’autre part, la CNIL juge que les paramètres et les réglages disponibles dans les systèmes d’exploitation pour les smartphones ne sont pas suffisants et demande un contrôle plus poussé sans pour autant dégrader l’expérience de l’utilisateur. La CNIL et l’INRIA annonce avoir développé une démonstration des réglages qui pourraient être proposés par le fournisseur du système d’exploitation.
Enfin, pour la CNIL, il est important que les fournisseurs de services et d’outils aux développeurs ne doivent collecter que les données qui leur sont strictement nécessaires et ce, en toute transparence pour ceux-ci et par conséquence pour les utilisateurs de smartphone.
Selon une récente étude menée par l’institut BVA, 77% des français doutent de la sécurité des données sur les smartphones et les tablettes tactiles. Seulement 19% des français estiment que les appareils actuellement proposés sur le marché permettent de protéger leurs informations privées lors de leurs connexions à Internet.
Toujours selon cette étude réalisée entre le 28 et le 29 mars 2013 auprès de 1019 personnes représentatif de la population française âgée de 15 ans et plus, pour 73% d’entre elles, les garanties en termes de sécurité des données personnelles d’un smartphone ou d’une tablette tactile constituent désormais un critère de choix déterminant.
« Il est grand temps pour les fabricants et les éditeurs d’applications mobiles de tenir compte de ces préoccupations, qui constituent une superbe opportunité business. Si les jeux et les applications médias sont aujourd’hui à l’honneur sur les Smartphones et tablettes, ils sont davantage un vecteur d’image qu’une vraie source de revenus. La sécurité est sans doute ce qui peut changer la donne, et susciter un retour aux logiciels payants. Elle représente en tout cas un nouvel Eldorado pour les acteurs d’un marché où la concurrence fait rage, et où il faut innover en permanence pour gagner », commente Bruno Vanryb, président du collège éditeurs de Syntec Numérique.