« Hors de controle », voila comment le conseil norvegien des consommateurs qualifie des confortables publicitaires modernes. L’agence gouvernementale a demande a une entreprise de cybersecurite de se pencher i propos des pratiques de gestion des donnees de 10 applications populaires. Leur panel s’est porte sur des applications qui manipulent des precisions personnelles sensibles : suivi du cycle menstruel (MyDays, Clue), aide a la priere (Muslim : Qibla Finder), retrouve amoureuses (Tinder, Grindr, OkCupid)… Notre bilan reste accablant : l’ensemble de communiquent une partie des donnees de leurs utilisateurs a des entreprises tierces, a des fins publicitaires.
Dans la majorite des cas, l’utilisateur n’a pas pu emettre un consentement eclaire sur ces pratiques, tel le requiert pourtant la loi europeenne. Parmi ces mauvais eleves, l’application de rencontre Grindr se distingue par la precision des informations qu’elle communique, et le nombre de destinataires a qui elle les envoie — alors meme que ses millions d’utilisateurs appartiennent majoritairement a J’ai communaute LGBTQ+, particulierement visee par des discriminations. Le conseil norvegien des consommateurs a donc decide d’attaquer l’entreprise en justice, pour multiples violation du reglement europeen sur la protection des donnees (RGPD). Ce genre d’infraction reste passible d’une amende du montant le plus eleve entre 20 millions d’euros et 4 % du chiffre d’affaires annuel de l’entreprise.
Quelles donnees sont concernees ?
Les precisions communiquees a des firmes tierces par nos applications sont de deux types, au regard du RGPD :
- Les informations personnelles : date maternel, age, adresse IP [un numero associe a un appareil electronique, ici au smartphone, ndlr], coordonnees GPS (localisation), l’advertising ID [un identifiant attribue avec Android qui permet de suivre un individu entre les applications, ndlr].
- Les informations sensibles, un sous-ensemble encore plus protege dans la loi, car elles peuvent servir a discriminer Quelques groupes : genre, orientation sexuelle, opinions religieuses.
Detail du type de informations et du nombre de destinataires adresses via les applications rencontre avec un homme sikh. // Source : Forbrukerradet
Chacune des 10 applications communique un plus ou moins grand nombre des donnees, de facon plus ou moins precise (cf. image ci-dessus), a des tiers. Les auteurs de l’etude insistent particulierement dans Grindr, Tinder et OkCupid, qui fournissent les donnees relatives a l’orientation sexuelle de leurs utilisateurs. Pourtant, Grindr s’etait deja fait epingle apres avoir partage le statut serologique de ses utilisateurs.
Qui recupere les donnees ?
En tout, les auteurs de l’etude ont recense 135 entreprises destinataires Plusieurs precisions, dans une liste non-exhaustive. Elles ont des noms inconnus des non-specialistes comme AppsFlyer, LeanPlum, AdColony, mais on retrouve aussi des filiales de Google, Facebook ou encore Twitter. J’ai majorite d’entre-elles sont des data-brokers : leur activite est d’agreger ainsi que combiner de grandes quantites de donnees de consommateurs, issues de plusieurs sources, publiques comme privees, dans le but de nos revendre.
Elles partagent donc les donnees a des entreprises de marketing, d’estimations des risques ou de prevention a J’ai fraude. Vos informations se propagent ainsi de serveur en serveur de facon invisible, sans que vous ne puissiez donner ou retirer ce consentement.
« Ces entreprises ont des pratiques de collecte et d’utilisation des donnees des consommateurs dont la legalite est questionnable. J’ai colonne vertebrale de votre systeme publicitaire pourrait etre de facon systemique contraire au RGPD », ecrivent les auteurs de l’etude. D’apres un article universitaire, quand un site demande de facon claire a ses visiteurs s’ils acceptent le partage de leurs informations a des acteurs tiers a des fins publicitaires, ils refusent dans 99,9 % des cas.
Que peut-on faire avec faire mes informations ?
Plus un publicitaire — ou votre hacker — aura un grand nombre de informations sur une aussi personne, plus il lui sera facile de trouver les donnees qui lui manquent pour completer 1 profil. Entre autres, si l’adresse IP parait etre une donnee a faible valeur, elle va permettre en fait de creer un profil tracable un coup recoupee a d’autres.
« L’adresse IP n’est pas un indicateur fort fiable. Mais elle permet, notamment, de savoir que c’est la meme personne qui est revenue sur le site a deux heures d’intervalle. Et si on combine l’adresse IP avec l’age et le genre une personne, on dispose d’une empreinte quasi unique. On va pouvoir ainsi traquer son comportement, sans avoir le nom ou un identifiant comme l’adresse email », previent Gaetan Le Guelvouit, responsable du laboratoire confiance & securite chez b<>com, interroge par Cyberguerre de Numerama.
Cette empreinte permet pourquoi pas aux annonceurs de personnaliser les publicites qu’ils vous afficheront en fonction de la genre, de votre age et de votre comportement, c’est-a-dire des autres pages web que vous auriez pu visiter. Cette pratique a deja abouti a quantite de debordements. Prenons un exemple, Facebook avait permis a toutes les annonceurs de cibler des conspirationnistes antisemites qui pensaient que des Juifs preparaient votre « genocide blanc ». Un an plutot, l’entreprise californienne leur permettait d’exclure certaines ethnies de leur ciblage publicitaire.
Les informations encore plus exposees a toutes les dangers
D’autres informations permettront a elles seules de deduire quelques precisions. « Dans ces revelations, c’est l’acces aux precisions GPS qui me derange le plus. Il faut juste trouver deux recurrences au sein des deplacements, et on va pouvoir sans probli?me identifier la zone de travail et le domicile en personne. Ensuite, il suffit de Realiser l’intermediaire au milieu des pages blanches Afin de tomber sur son nom. Quand on dispose de l’age ou d’la date maternel, on peut aussi confirmer votre qu’on a deniche », developpe le chercheur.
En terme de securite, il s’agit d’un vrai desastre. Chaque fois que ces informations paraissent partagees a une nouvelle entreprise, vous etes exposes a 1 nouveau va parfois fuite ou d’ attaque. Or, si des acteurs malveillants mettent mon tour sur des donnees d’une telle valeur, ils pourront causer beaucoup de dommages. Entre autres, 1 hacker pourrait Realiser du chantage aupres de personnes homosexuelles n’ayant gui?re fait un coming-out. Pire, il pourrait menacer leur vie. Usurpation d’identite, espionnage, des menaces sont nombreuses.
Que puis-je faire Afin de couvrir faire mes precisions ?
J’ai meilleure solution est evidemment d’effacer l’integralite des precisions que vous pouvez ainsi que quitter l’application. Mais si vous souhaitez rester via ces applications de rencontre, les possibilites seront limitees. « Il existe des applications qui permettront d’effectuer des fausses precisions GPS, on peut mentir dans le age ou le genre…. mais on perd aussi l’interet de l’application », rappelle Gaetan Notre Guelvouit. A minima, vous pouvez choisir un VPN pour masquer votre adresse IP, ce va i?tre i chaque fois une donnee pertinente de moins.
« Le principal probleme, c’est que ces applications seront hypocrites. Pour les specialistes d’une cybersecurite, il va i?tre evident qu’elles vont revendre les informations, car leur valeur est importante. Mais puisque nos utilisateurs sont confrontes chaque jour a ce type de scandale, ils s’y habituent et ne considerent nullement les risques… », regrette L’expert.
