Mike Kwet et Sean O’Brien sont chercheurs associés au Privacy Lab de la prestigieuse université américaine de Yale. Ils ont travaillé sur certains trackers révélés par Exodus. Ils reviennent pour Le Monde sur les enseignements qu’ils en ont tirés.

Quel est selon vous le principal enseignement de la plateforme Exodus et de l’analyse que vous avez réalisée de certains des « trackers », ces morceaux de code qui enregistrent des informations sur les utilisateurs ?

Mike Kwet : La prolifération de ces trackers prouve que les principaux magasins d’applications profitent de leurs utilisateurs. Exodus a dû développer un logiciel spécial afin d’identifier ceux qui étaient présents dans les applications téléchargées depuis Google Play. Le manque de transparence dans ce processus montre qu’on ne peut pas faire confiance à un acteur centralisé pour qu’il respecte ses utilisateurs.

Vous pensez que le problème est davantage chez Google que chez les développeurs d’applications ?

Sean O’Brien : Au final, ceux qui sont responsables de la mise en place des trackers sont les développeurs, bien sûr. Mais Google Play, et les autres magasins d’applications comme celui d’Apple, en permettant d’installer des logiciels sur un téléphone, sont les principaux maillons d’une chaîne de confiance, car ils ont un immense pouvoir de contrôle.

Or ces magasins, comme Google Play, ont construit leur business autour, notamment, de la publicité ciblée. Cette priorité n’est pas compatible avec la vie privée et la sécurité. Exodus révèle des pratiques troublantes en matière de vie privée dont Google est pleinement conscient, quand il ne les encourage pas.

Pensez-vous que la quantité de « trackers » exhumés par la plateforme Exodus est une menace pour la vie privée ?

MK : Oui. Les trackers dans les applications mobiles augmentent la quantité de vos données personnelles collectées, y compris vos déplacements en temps réel. Les publicitaires sont de plus en plus agressifs pour collecter la localisation physique des gens à des fins de publicités ciblées. Ce type de collecte ouvre de nouvelles perspectives en matière d’analyse de données, comme les services de publicité qui suivent vos déplacements à l’intérieur d’un magasin jusqu’à savoir dans quel rayon vous vous trouvez.

Les entreprises adoptent des technologies de pointe comme les ultrasons ou les balises bluetooth pour vous pister. Cela nous rapproche d’un monde à la Minority Report. Il est souvent dit que les données collectées sont anonymisées, mais de nombreuses études montrent qu’il est facile de réidentifier un utilisateur si l’on dispose d’une riche base de données. L’idée selon laquelle la vie privée est préservée parce que les données sont anonymisées est fausse. C’est très facile de réidentifier un individu avec des informations précises.

Y a-t-il un moyen de contrer cette surveillance ?

MK : C’est difficile si l’on utilise les magasins d’applications de Google et Apple. Il est possible d’utiliser des magasins alternatifs comme F-Droid. La plupart des utilisateurs d’applications ne savent pas que des mouchards publicitaires sont présents dans leur application favorite. Est-ce que les gens qui ont téléchargé une application de météo ou de santé savent qu’il y a un logiciel caché dedans, qui suit tout ce qu’ils font, nuit et jour ? Google Play n’envoie pas de notification explicite au sujet des trackers nichés dans les applications, et les développeurs d’applications choisissent souvent de ne pas en avertir leurs utilisateurs.

Même si un utilisateur prend conscience de la présence de trackers, les options d’opposition à cette collecte sont problématiques. Le processus est complexe et il n’y a aucune garantie qu’il soit permanent.

Au-delà des « trackers », il existe tout un écosystème de données personnelles. Exodus vous a-t-il permis d’y voir plus clair ?

SO : Exodus a été un outil très utile et audacieux pour se pencher sur le monde clandestin des trackers dans Google Play. Mais ce n’est que la première étape de l’analyse, du point de vue de la vie privée, des 3,3 millions d’applications qui existent sur le marché. Au-delà, nous n’avons pas suffisamment d’informations sur la manière dont les données sont stockées, transmises et partagées. On peut voir le code du tracker, les données exfiltrées, et l’on peut lire les déclarations d’intention des entreprises qui les récupèrent. Mais il s’agit encore de « boîtes noires », et tirer tout cela au clair va nécessiter un sérieux travail d’enquête.