Comment certaines applications Android échangent des données avec Facebook

En particulier pour les mobinautes qui n'ont pas de compte Facebook ?

Des recherches antérieures ont montré comment 42,55% des applications gratuites sur le Google Play Store pouvaient partager des données avec Facebook, faisant de Facebook le deuxième outil de suivi tiers le plus utilisé après Alphabet, la société mère de Google. Dans un rapport, des chercheurs de l’ONG Privacy International ont illustré à quoi ressemble ce partage de données, en particulier pour les personnes n'ayant pas de compte Facebook.

Cette question de savoir si Facebook recueille des informations sur les utilisateurs non connectés ou n'ayant pas de compte a été soulevée à la suite du scandale de Cambridge Analytica par des législateurs lors d'audiences aux États-Unis et en Europe. Les discussions, ainsi que les amendes précédentes des autorités de protection des données relatives au suivi des non-utilisateurs, se concentrent toutefois souvent sur le suivi des sites Web. On en sait beaucoup moins sur les données que la société reçoit des applications. Pour ces raisons, dans le rapport, ont été soulevées des questions sur la transparence et l'utilisation des données d'applications considérées comme opportunes et importantes par les chercheurs de Privacy International.

Facebook suit régulièrement les utilisateurs, les non-utilisateurs et les utilisateurs déconnectés en dehors de sa plateforme via Facebook Business Tools. Les développeurs d'applications partagent des données avec Facebook via le Kit de développement logiciel (SDK) de Facebook, un ensemble d'outils de développement logiciel aidant les développeurs à créer des applications pour un système d'exploitation spécifique.


Analyse

En utilisant le logiciel gratuit et open source appelé "mitmproxy", un proxy interactif HTTPS, Privacy International a analysé les données transmises par 34 applications sur Android, chacune avec une base d'installation de 10 à 500 millions, à Facebook via le SDK de Facebook. Toutes les applications ont été testées entre août et décembre 2018, le dernier test ayant eu lieu entre le 3 et le 11 décembre 2018.

Voici les différents composants dont se sont servis les chercheurs

• Un ordinateur portable exécutant une machine virtuelle (Oracle VirtualBox) avec mitmproxy en mode "transparent" (ce qui signifie que la connexion est interceptée à l'insu du client). Avec les outils nécessaires pour créer un point d’accès au réseau fonctionnel. La machine virtuelle exécute Debian 10 en raison des exigences de mitmproxy qui nécessite l’utilisation de Python version 3.6.4 ou une version plus récente.
• Un téléphone Android Nexus 5 sous Android 8.1 (Oreo). Les chercheurs se sont servi de Lineage OS, construit à partir de l’Android Open Source Project (AOSP), afin d'exécuter des versions plus récentes d'Android sur l'appareil.
• Un périphérique (ordinateur portable) pour exécuter Android Development Bridge (ADB) afin d’installer le certificat mitmproxy dans le Systems Trust Store (par opposition au Users Trust Store) en raison des contraintes de sécurité introduites dans Android 728, et de faire des enregistrements d’activités dans les applications en se servant de la fonctionnalité "enregistrement” de l’ADB.

Résultats

• Les chercheurs ont constaté qu'au moins 61% des applications qui ont été testées transfèrent automatiquement des données vers Facebook dès qu'un utilisateur ouvre l'application. Cela se produit que les personnes aient un compte Facebook ou non, qu'elles soient ou non connectées à Facebook.
• Généralement, les premières données transmises automatiquement sont des données d'événements qui communiquent à Facebook que le SDK de Facebook a été initialisé en transmettant des données telles que "App installée" et "SDK initialisé". Ces données révèlent le fait qu'un utilisateur utilise application spécifique, chaque fois que l'utilisateur ouvre une application.
• Dans l’analyse, les applications qui transmettent automatiquement des données à Facebook partagent ces données avec un identifiant unique, l'ID de publicité Google (AAID). Les ID de publicité, tels que l'ID de publicité Google (ou son équivalent Apple, IDFA), ont pour objectif principal de permettre aux annonceurs de relier des données sur le comportement des utilisateurs à partir de différentes applications et de la navigation Web dans un profil complet. Si elles sont combinées, les données de différentes applications peuvent brosser un tableau détaillé et intime des activités, des intérêts, des comportements et des routines des personnes, dont certaines peuvent révéler des données de catégories spéciales, notamment des informations sur la santé ou la religion des personnes. Par exemple, une personne qui a installé les applications suivantes que les chercheurs ont testées, "Qibla Connect" (une application de prière musulmane), "Period Tracker Clue" (un suivi de cycle menstruel), "Indeed" (une application de recherche d'emploi), "My Talking Tom « (une application utilisée par les enfants), pourrait potentiellement être présenté comme une femme, probablement une musulmane, probablement une chercheuse d'emploi, et elle pourrait être un parent.
• Si elles sont combinées, les données d'événement telles qu'Application installée, "SDK initialisé" et "Désactiver l'application" de différentes applications offrent également un aperçu détaillé du comportement d'utilisation de l'application par des centaines de millions de personnes.
• Les chercheurs ont également constaté que certaines applications envoient régulièrement des données Facebook extrêmement détaillées et parfois sensibles. Encore une fois, cela concerne les données de personnes qui sont déconnectées de Facebook ou qui ne possèdent pas de compte Facebook. L’application de recherche de voyages et de comparaison de prix "KAYAK" en est un bon exemple. Elle fournit des informations détaillées sur les recherches de vols des internautes vers Facebook, notamment: ville de départ, aéroport de départ, date de départ, ville d’arrivée, aéroport de départ, date d'arrivée, nombre de billets ( y compris le nombre d'enfants), la classe de billets (classe économique, classe affaires ou première classe).
• La politique en matière de cookies de Facebook décrit les deux manières par lesquelles les personnes qui ne possèdent pas de compte Facebook peuvent contrôler l’utilisation des cookies par Facebook pour leur diffuser des annonces. Privacy International a testé les deux options de retrait et a constaté qu'elles n'avaient aucun impact perceptible sur le partage de données décrit dans ce rapport.

Conclusion

Facebook demande aux développeurs d’applications de s’assurer qu’ils ont le droit légitime de collecter, d’utiliser et de partager les données des personnes avant de fournir des données à Facebook. Cependant, l'implémentation par défaut du SDK de Facebook est conçue pour transmettre automatiquement les données d'événement à Facebook.

Depuis le 25 mai 2018, le jour de l'entrée en vigueur du règlement général sur la protection des données (RGPD) de l'UE, les développeurs ont déposé des rapports de bogues sur la plateforme développeurs de Facebook. Ils craignent que le SDK de Facebook ne partage automatiquement les données avant que les applications ne puissent demander aux utilisateurs de donner un accord ou de consentement. Le 28 juin 2018, Facebook a publié une fonctionnalité volontaire qui devrait permettre aux développeurs de retarder la collecte des événements automatiquement enregistrés jusqu'à l'obtention du consentement de l'utilisateur. Cette fonctionnalité a été lancée 35 jours après l’entrée en vigueur de GDPR et ne fonctionne qu’à partir du SDK version 4.34.

En réponse à ce rapport, Facebook a déclaré dans un courriel adressé à Privacy International le 28 décembre 2018 : « Avant l'introduction de l'option “délai”, les développeurs avaient la possibilité de désactiver la transmission des données de journalisation automatique des événements, à l'exception d'un signal indiquant que le SDK avait été initialisé. Suite à la modification apportée en juin à notre SDK, nous avons également supprimé le signal d'initialisation du SDK pour les développeurs qui désactivaient la journalisation automatique des événements ».

Source : rapport (au format PDF)

Voir aussi :

Combien faudrait-il vous payer pour que vous désactiviez votre compte Facebook pendant un an ? voici les résultats d'une recherche à ce propos
Facebook rend open source le système de reconnaissance vocale Wav2letter++ et publie Flashlight, une bibliothèque d'apprentissage machine
Facebook travaillerait sur la création de sa propre cryptomonnaie basée sur la blockchain pour le transfert d'argent via WhatsApp
Facebook recueillerait des données personnelles provenant de plusieurs applications tierces, et tout ceci à l'insu des utilisateurs
« Zuckerberg doit démissionner » : l'indignation monte après un rapport indiquant que Facebook, a laissé des entreprises lire des messages privés