Charly
Je vous ai parlé récemment de vols de données perso via votre IA préférée, ces vols sont partout (ou les tentatives) notamment sur les smartphones.
Sans sombrer dans la paranoïa, personnellement je passe au peigne fin mon téléphone.
Les autorisations des applis, le choix de celles-ci (je passe en général par un store alternatif), bref je scrute tous les réglages.
Mais aussi : j'ai remarqué qu'une grande majorité au travail (et dans mon entourage), ne sait pas à quoi correspond réellement les différents items ; je comprends que tout le monde n'intègre pas certains termes comme par exemple : NFC, DNS, autorisation connexion HDB, sources externes d'applications, etc. et encore moins les réglages les concernant, sans oublier bien sûr les applis.
Il a fallu que je trouve un truc facile à comprendre ou facilement gérable pour savoir quelle application fait quoi…
Il existe de nombreuses applis qui sont censées faire ce travail pour vous, mais certaines font elles-mêmes de la télémétrie avec des autorisations douteuses.
Il y en a pour tous les goûts, celles qui bloqueront les trackers et celles qui vous avertissent des dangers potentiels ou les deux.
Je préfère de loin ces dernières car elles expliquent au lieu d'interdire sans donner d'explication.
Elles vous laissent donc avec votre libre arbitre, mais en toute connaissance de cause…
TrackerControl & No Track
Une des applications les plus utilisées pour bloquer ces trackers est "TrackerControl", j'ai donc été vérifier ce qu'elle fait exactement.
Sur F-droid : https://f-droid.org/packages/net.kollnig.missioncontrol.fdroid/
Résultats : un "pisteur"! D'après les recherches il s'agit seulement d'un "crash reporting", mais aussi de quatorze autres permissions différentes, sur ces 14 une seulement pose réellement question et je la considère malsaine.
En continuant à chercher : cette permission autorise à prendre l'état du smartphone ainsi que votre identité (mais pourquoi l'identité ?).
Pourtant cette appli se trouve également sur F-Droid, le store dédié aux applis "open source"…
Une deuxième avec là aussi un nom sympa :"No Track".
https://reports.exodus-privacy.eu.org/fr/reports/com.rucksack.adblock.anti_tracking/latest/
Ici aussi quatorze permissions dont 2 pisteurs (Google CrashLytics et Google Firebase Analytics), autrement dit Google est toléré sur cette appli.
En regardant de plus près et sur les quatorze autres permissions mon attention se porte sur une seule "WRITE_EXTERNAL_STORAGE".
Celle-ci permet en fait de modifier et supprimer le contenu mémoire du stockage partagé.
Vous trouverez l'APK (Android Package Kit) ici : https://apkpure.com/notrack-anti-tracking-priva/com.rucksack.adblock.anti_tracking
Ces deux-là sont parmi les moins mauvais.
Quand nous cherchons nous trouvons toujours quelque chose de douteux, quelles que soient les applis utilisées et d'où qu'elles viennent.
Il y aura toujours de la télémétrie sur nos terminaux, c'est le nerf de la guerre.
Je ne parle même pas de certains jeux et applications plus que douteux, par exemple pourquoi un simple jeux local aurait besoin d'avoir un accès illimité à vos photos, contacts et SMS pour fonctionner ?
Comment savoir ?
Le but de ce petit billet est de minimiser ces abus, mais aussi de ne pas être assisté à 95% par une appli, pourquoi pas 100% ? Car celles-ci ont des paramètres également et qui devront être parcourus à défaut d'être ajustés.
Vous l'avez compris, personnellement je préfère donc donner aux personnes les moyens (si petits soient-ils) de comprendre le fonctionnement en cherchant un minimum par soi-même ; bien sûr tout en étant aidé dans la démarche.
À propos du Play Store
Les descriptions complètes d'une application y sont succinctes, celles-ci ne mentionnent pas les intérêts publicitaires des partenaires, quant à leur info de sécurité c'est de l'esbroufe, juste des intentions qu'il faut croire sur parole.
Je ne parlerai même pas d'applis corrompues qui sont pourtant validées par Google (j'en ai parlé dans un précédent billet).
Je voudrais donc vous présenter l'outil EXODUS
Cet outil est open source et développé par une association française depuis 2017/2018.
Le site est ici : https://reports.exodus-privacy.eu.org/fr/
Il suffit juste d'entrer le nom exact de l'appli dans le champ "Rechercher un rapport", vous aurez ensuite le droit de consulter le(s) rapport(s) et vous faire ainsi une idée précise de ce que fait exactement l'application.
Un exemple ci-dessous avec un petit jeu dont les enfants raffolent sur les terminaux des parents (Subway Surf), 32 pisteurs et 19 permissions ! Rien que ça.
Parmi celles-ci on peut noter du Google à gogo (analytics), mais aussi des outils de marketing, de transfert de données, Facebook, Amazon, etc., bref un p'tit jeu inoffensif…
Pour info
Les "pisteurs" font partie du logiciel dédié à la collecte de vos données, quant aux "permissions" elles font partie des actions que l'appli peut faire sur votre terminal.
Certaines sont obligatoires ou essentielles au bon fonctionnement, par exemple la permission de vous géolocaliser avec l'appli "Waze" (Navigation/Itinéraire), c'est donc une permission légitime.
Pour en savoir plus et plus bas sur la page, n'hésitez pas à consulter les rapports sur le site concernant chaque pisteur et chaque permission.
Note
Si une application n'est pas sur le site vous pouvez la soumettre pour analyse (ou si vous n'êtes pas d'accord avec l'analyse), c'est par ici : contact@exodus-privacy.eu.org
L'organisation a à son actif environ 280 000 applis analysées et un peu plus de 700 000 rapports disponibles.
Pour en savoir plus sur l'application c'est par là : https://github.com/exodus-privacy/
Si vous voulez passer directement par l'appli dédiée
Si vous préférez passer par l'application vous la trouverez ici : https://play.google.com/store/apps/details?.eu.exodus_privacy.exodusprivacy&hl=fr
- Je conseille dans ce cas, et comme toujours, de jeter un œil dans les paramètres de l'appli (préférences) :
Que vous choisissiez la méthode 1 ou l'appli, un rapport sera disponible.
Personnellement, comme je l'ai souligné au début de ce petit billet, je préfère la 1ère méthode, de plus je n'ai pas à installer une nouvelle application sur mon smartphone.
À ce propos j'ai testé l'appli "Exodus" avec 2 outils différents.
J'y ai trouvé : 0 pisteur et 5 permissions.
J'ai voulu en savoir plus, j'ai donc noté : deux permissions pour l'accès Internet/Réseaux, une pour les notifications, une pour accéder (évidemment) à vos applis et une pour la réorganisation des applis. Cet outil est donc à priori sain.
Il y a quelques années Exodus avait fait parler d'elle avec l’affaire "Reporty", une appli (même si celle-ci voulait lutter contre les incivilités) plus que douteuse de la mairie de Nice, la "quadrature du Net" avait aussi épinglé cette cochonnerie.
Un lien de l'époque : https://entrepreneurs.lesechos.fr/creation-entreprise/reseaux-accompagnement/reporty-sous-le-feu-des-critiques-de-la-cnil-1991469
Tous les pisteurs ne se valent pas
- Le Crash reporting : Notifications aux développeurs des plantages de l'application.
- Le Profiling : Celui-ci récupère un maximum d'infos sur vous, tout ce qu'il peut…
- Analytics : Sert aux développeurs de l'application (pour les mesures d'audiences), mais ceux-ci se servent des outils gratuits de Google pour ce faire, Google lui s'en sert pour vous pister. Vous trouverez également cette chose sur pratiquement tous les sites Web. Pourquoi ? Ces outils sont gratuits et fonctionnent bien…
- Ads : Pour les publicités ciblées.
- Location : Comme son nom l'indique pour vous géolocaliser.
- Identification : Détermine votre identité numérique, par exemple corréler les activités en ligne et hors ligne.
Note
Pour le néophyte différents ateliers gratuits existent un peu partout en France et pas seulement pour Android.
Ils sont proposés par des associations (dont je fais partie), bien sûr il n'y a pas toutes les villes et villages de France, vous pouvez aussi soumettre un évènement, un cours donné par vous, mais uniquement sur les logiciels libres.
Ici : https://www.agendadulibre.org
Le mot de la fin
Pour moi et en tant que médiateur numérique (30% de mon temps), l'intérêt est non seulement que les personnes se rendent compte de ce qu'elles ont dans leurs terminaux, mais aussi et j'ai envie de dire surtout, de comprendre a minima ce que font réellement leurs applis.
"L'assistanat" à 100% sans impliquer le moindre effort de compréhension, sans consulter le moindre rapport, est pour ma part nocif et indigne d'un médiateur.
À titre d'exemple une étudiante a abandonné son appli de chat vocal (Chati pour ne pas la nommer), pour une alternative plus sûre et respectueuse. Cette appli présentait 6 pisteurs et 45 permissions dont 13 dangereuses et/ou intrusives !
À savoir : Les différentes permissions et pisteurs peuvent changer lors d'une mise à jour de l'appli ; selon les versions elle peuvent également être différentes.
J'ai vu nombre de smartphones me passer entre les mains, raisons invoquées et comme pour les PC : ça rame. Je ne suis pas un spécialiste d'Android, mais je me débrouille.
En remplaçant certaines applis vraiment trop intrusives, en interdisant les démarrages auto, en limitant autant que possible l'accès aux réseaux, en donnant le moins possible d'autorisations d'accès pas vraiment nécessaires, etc.
Ces terminaux ont retrouvé une seconde jeunesse, l'accès réseaux est meilleur et l'autonomie a nettement progressée.
Je ne peux finir sans ceci : La dangerosité des permissions données par les différents acteurs ou applis anti-tracking est basée sur les "niveaux de protections de Google". https://developer.android.com/guide/topics/permissions/overview?hl=fr
Or ce dernier (en général) insère ses "outils" non dans les permissions, mais dans les pisteurs.
Vous pouvez donc trouver une application apparemment saine côté permissions, mais Google est bien présent dans les pisteurs.
Je constate pendant mes cours de médiation que beaucoup n'en ont que faire de tout ceci, libre à eux et je respecte leurs choix mais lors du concours final (diplôme), certains vont avoir des surprises…
Même s'ils sont moins nombreux d'autres ont éveillé leur curiosité, j'ai au moins réussi à attirer l'attention, les petits ruisseaux font les grandes rivières…
Belle journée,
Charly
Les autres articles de Charly
wpDiscuz
Admin-Christ
