Comment certaines applications Android échangent des données avec Facebook

En particulier pour les mobinautes qui n'ont pas de compte Facebook ?

Des recherches antérieures ont montré comment 42,55% des applications gratuites sur le Google Play Store pouvaient partager des données avec Facebook, faisant de Facebook le deuxième outil de suivi tiers le plus utilisé après Alphabet, la société mère de Google. Dans un rapport, des chercheurs de l’ONG Privacy International ont illustré à quoi ressemble ce partage de données, en particulier pour les personnes n'ayant pas de compte Facebook.

Cette question de savoir si Facebook recueille des informations sur les utilisateurs non connectés ou n'ayant pas de compte a été soulevée à la suite du scandale de Cambridge Analytica par des législateurs lors d'audiences aux États-Unis et en Europe. Les discussions, ainsi que les amendes précédentes des autorités de protection des données relatives au suivi des non-utilisateurs, se concentrent toutefois souvent sur le suivi des sites Web. On en sait beaucoup moins sur les données que la société reçoit des applications. Pour ces raisons, dans le rapport, ont été soulevées des questions sur la transparence et l'utilisation des données d'applications considérées comme opportunes et importantes par les chercheurs de Privacy International.

Facebook suit régulièrement les utilisateurs, les non-utilisateurs et les utilisateurs déconnectés en dehors de sa plateforme via Facebook Business Tools. Les développeurs d'applications partagent des données avec Facebook via le Kit de développement logiciel (SDK) de Facebook, un ensemble d'outils de développement logiciel aidant les développeurs à créer des applications pour un système d'exploitation spécifique.


Analyse

En utilisant le logiciel gratuit et open source appelé "mitmproxy", un proxy interactif HTTPS, Privacy International a analysé les données transmises par 34 applications sur Android, chacune avec une base d'installation de 10 à 500 millions, à Facebook via le SDK de Facebook. Toutes les applications ont été testées entre août et décembre 2018, le dernier test ayant eu lieu entre le 3 et le 11 décembre 2018.

Voici les différents composants dont se sont servis les chercheurs

• Un ordinateur portable exécutant une machine virtuelle (Oracle VirtualBox) avec mitmproxy en mode "transparent" (ce qui signifie que la connexion est interceptée à l'insu du client). Avec les outils nécessaires pour créer un point d’accès au réseau fonctionnel. La machine virtuelle exécute Debian 10 en raison des exigences de mitmproxy qui nécessite l’utilisation de Python version 3.6.4 ou une version plus récente.
• Un téléphone Android Nexus 5 sous Android 8.1 (Oreo). Les chercheurs se sont servi de Lineage OS, construit à partir de l’Android Open Source Project (AOSP), afin d'exécuter des versions plus récentes d'Android sur l'appareil.
• Un périphérique (ordinateur portable) pour exécuter Android Development Bridge (ADB) afin d’installer le certificat mitmproxy dans le Systems Trust Store (par opposition au Users Trust Store) en raison des contraintes de sécurité introduites dans Android 728, et de faire des enregistrements d’activités dans les applications en se servant de la fonctionnalité "enregistrement” de l’ADB.

Résultats

• Les chercheurs ont constaté qu'au moins 61% des applications qui ont été testées transfèrent automatiquement des données vers Facebook dès qu'un utilisateur ouvre l'application. Cela se produit que les personnes aient un compte Facebook ou non, qu'elles soient ou non connectées à Facebook.
• Généralement, les premières données transmises automatiquement sont des données d'événements qui communiquent à Facebook que le SDK de Facebook a été initialisé en transmettant des données telles que "App installée" et "SDK initialisé". Ces données révèlent le fait qu'un utilisateur utilise application spécifique, chaque fois que l'utilisateur ouvre une application.
• Dans l’analyse, les applications qui...