Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Comment certaines applications Android échangent des données avec Facebook
En particulier pour les mobinautes qui n'ont pas de compte Facebook ?

Le , par Stéphane le calme

213PARTAGES

17  1 
Des recherches antérieures ont montré comment 42,55% des applications gratuites sur le Google Play Store pouvaient partager des données avec Facebook, faisant de Facebook le deuxième outil de suivi tiers le plus utilisé après Alphabet, la société mère de Google. Dans un rapport, des chercheurs de l’ONG Privacy International ont illustré à quoi ressemble ce partage de données, en particulier pour les personnes n'ayant pas de compte Facebook.

Cette question de savoir si Facebook recueille des informations sur les utilisateurs non connectés ou n'ayant pas de compte a été soulevée à la suite du scandale de Cambridge Analytica par des législateurs lors d'audiences aux États-Unis et en Europe. Les discussions, ainsi que les amendes précédentes des autorités de protection des données relatives au suivi des non-utilisateurs, se concentrent toutefois souvent sur le suivi des sites Web. On en sait beaucoup moins sur les données que la société reçoit des applications. Pour ces raisons, dans le rapport, ont été soulevées des questions sur la transparence et l'utilisation des données d'applications considérées comme opportunes et importantes par les chercheurs de Privacy International.

Citation Envoyé par Privacy International
Pour ce rapport, nous nous sommes concentrés sur Android (au lieu d’autres systèmes d’exploitation ou périphériques). Toutefois, le suivi par des tiers est également répandu sur d’autres plateformes. Nous nous intéressions plus particulièrement aux types de données que les applications partagent avec Facebook sur les utilisateurs qui n'ont pas de compte Facebook (ou qui sont déconnectés de la plateforme), ainsi qu'au moment et à la manière dont ces données sont transmises. Tandis que d'autres ont examiné la prévalence du suivi plus largement, nous nous sommes concentrés sur Facebook, car leur accès aux données en tant que tierce partie l’est d’une manière inhabituelle et inattendue pour les consommateurs.
Facebook suit régulièrement les utilisateurs, les non-utilisateurs et les utilisateurs déconnectés en dehors de sa plateforme via Facebook Business Tools. Les développeurs d'applications partagent des données avec Facebook via le Kit de développement logiciel (SDK) de Facebook, un ensemble d'outils de développement logiciel aidant les développeurs à créer des applications pour un système d'exploitation spécifique.


Analyse

En utilisant le logiciel gratuit et open source appelé "mitmproxy", un proxy interactif HTTPS, Privacy International a analysé les données transmises par 34 applications sur Android, chacune avec une base d'installation de 10 à 500 millions, à Facebook via le SDK de Facebook. Toutes les applications ont été testées entre août et décembre 2018, le dernier test ayant eu lieu entre le 3 et le 11 décembre 2018.

Voici les différents composants dont se sont servis les chercheurs
  • Un ordinateur portable exécutant une machine virtuelle (Oracle VirtualBox) avec mitmproxy en mode "transparent" (ce qui signifie que la connexion est interceptée à l'insu du client). Avec les outils nécessaires pour créer un point d’accès au réseau fonctionnel. La machine virtuelle exécute Debian 10 en raison des exigences de mitmproxy qui nécessite l’utilisation de Python version 3.6.4 ou une version plus récente.
  • Un téléphone Android Nexus 5 sous Android 8.1 (Oreo). Les chercheurs se sont servi de Lineage OS, construit à partir de l’Android Open Source Project (AOSP), afin d'exécuter des versions plus récentes d'Android sur l'appareil.
  • Un périphérique (ordinateur portable) pour exécuter Android Development Bridge (ADB) afin d’installer le certificat mitmproxy dans le Systems Trust Store (par opposition au Users Trust Store) en raison des contraintes de sécurité introduites dans Android 728, et de faire des enregistrements d’activités dans les applications en se servant de la fonctionnalité "enregistrement” de l’ADB.



Résultats
  • Les chercheurs ont constaté qu'au moins 61% des applications qui ont été testées transfèrent automatiquement des données vers Facebook dès qu'un utilisateur ouvre l'application. Cela se produit que les personnes aient un compte Facebook ou non, qu'elles soient ou non connectées à Facebook.
  • Généralement, les premières données transmises automatiquement sont des données d'événements qui communiquent à Facebook que le SDK de Facebook a été initialisé en transmettant des données telles que "App installée" et "SDK initialisé". Ces données révèlent le fait qu'un utilisateur utilise application spécifique, chaque fois que l'utilisateur ouvre une application.
  • Dans l’analyse, les applications qui transmettent automatiquement des données à Facebook partagent ces données avec un identifiant unique, l'ID de publicité Google (AAID). Les ID de publicité, tels que l'ID de publicité Google (ou son équivalent Apple, IDFA), ont pour objectif principal de permettre aux annonceurs de relier des données sur le comportement des utilisateurs à partir de différentes applications et de la navigation Web dans un profil complet. Si elles sont combinées, les données de différentes applications peuvent brosser un tableau détaillé et intime des activités, des intérêts, des comportements et des routines des personnes, dont certaines peuvent révéler des données de catégories spéciales, notamment des informations sur la santé ou la religion des personnes. Par exemple, une personne qui a installé les applications suivantes que les chercheurs ont testées, "Qibla Connect" (une application de prière musulmane), "Period Tracker Clue" (un suivi de cycle menstruel), "Indeed" (une application de recherche d'emploi), "My Talking Tom « (une application utilisée par les enfants), pourrait potentiellement être présenté comme une femme, probablement une musulmane, probablement une chercheuse d'emploi, et elle pourrait être un parent.
  • Si elles sont combinées, les données d'événement telles qu'Application installée, "SDK initialisé" et "Désactiver l'application" de différentes applications offrent également un aperçu détaillé du comportement d'utilisation de l'application par des centaines de millions de personnes.
  • Les chercheurs ont également constaté que certaines applications envoient régulièrement des données Facebook extrêmement détaillées et parfois sensibles. Encore une fois, cela concerne les données de personnes qui sont déconnectées de Facebook ou qui ne possèdent pas de compte Facebook. L’application de recherche de voyages et de comparaison de prix "KAYAK" en est un bon exemple. Elle fournit des informations détaillées sur les recherches de vols des internautes vers Facebook, notamment: ville de départ, aéroport de départ, date de départ, ville d’arrivée, aéroport de départ, date d'arrivée, nombre de billets ( y compris le nombre d'enfants), la classe de billets (classe économique, classe affaires ou première classe).
  • La politique en matière de cookies de Facebook décrit les deux manières par lesquelles les personnes qui ne possèdent pas de compte Facebook peuvent contrôler l’utilisation des cookies par Facebook pour leur diffuser des annonces. Privacy International a testé les deux options de retrait et a constaté qu'elles n'avaient aucun impact perceptible sur le partage de données décrit dans ce rapport.

Conclusion

Facebook demande aux développeurs d’applications de s’assurer qu’ils ont le droit légitime de collecter, d’utiliser et de partager les données des personnes avant de fournir des données à Facebook. Cependant, l'implémentation par défaut du SDK de Facebook est conçue pour transmettre automatiquement les données d'événement à Facebook.

Depuis le 25 mai 2018, le jour de l'entrée en vigueur du règlement général sur la protection des données (RGPD) de l'UE, les développeurs ont déposé des rapports de bogues sur la plateforme développeurs de Facebook. Ils craignent que le SDK de Facebook ne partage automatiquement les données avant que les applications ne puissent demander aux utilisateurs de donner un accord ou de consentement. Le 28 juin 2018, Facebook a publié une fonctionnalité volontaire qui devrait permettre aux développeurs de retarder la collecte des événements automatiquement enregistrés jusqu'à l'obtention du consentement de l'utilisateur. Cette fonctionnalité a été lancée 35 jours après l’entrée en vigueur de GDPR et ne fonctionne qu’à partir du SDK version 4.34.

En réponse à ce rapport, Facebook a déclaré dans un courriel adressé à Privacy International le 28 décembre 2018 : « Avant l'introduction de l'option “délai”, les développeurs avaient la possibilité de désactiver la transmission des données de journalisation automatique des événements, à l'exception d'un signal indiquant que le SDK avait été initialisé. Suite à la modification apportée en juin à notre SDK, nous avons également supprimé le signal d'initialisation du SDK pour les développeurs qui désactivaient la journalisation automatique des événements ».

Citation Envoyé par Privacy International
Sans aucune transparence supplémentaire de Facebook, il est impossible de savoir avec certitude comment les données décrites dans ce rapport sont utilisées. C'est particulièrement le cas puisque Facebook a fait preuve de moins de transparence dans la manière dont il utilise par le passé les données d'utilisateurs autres que Facebook.

Nos constatations soulèvent également un certain nombre de questions juridiques. Étant donné que cette étude a été menée au Royaume-Uni, nous nous sommes concentrés sur le cadre européen applicable, à savoir le droit de l'UE en matière de protection des données (RGPD) et de protection de la vie privée (la directive ePrivacy 2002/58 / CE, telle que transposée par la législation des États membres), ainsi que la Loi sur la compétition. Un thème sous-jacent est la responsabilité des différents acteurs impliqués, y compris Facebook.
Source : rapport (au format PDF)

Voir aussi :

Combien faudrait-il vous payer pour que vous désactiviez votre compte Facebook pendant un an ? voici les résultats d'une recherche à ce propos
Facebook rend open source le système de reconnaissance vocale Wav2letter++ et publie Flashlight, une bibliothèque d'apprentissage machine
Facebook travaillerait sur la création de sa propre cryptomonnaie basée sur la blockchain pour le transfert d'argent via WhatsApp
Facebook recueillerait des données personnelles provenant de plusieurs applications tierces, et tout ceci à l'insu des utilisateurs
« Zuckerberg doit démissionner » : l'indignation monte après un rapport indiquant que Facebook, a laissé des entreprises lire des messages privés

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de pseon
Membre à l'essai https://www.developpez.com
Le 06/01/2019 à 0:56
Cette société est un véritable cancer pour internet, elle bafoue délibérément la volonté des internautes de ne pas être pisté dans l'indifférence générale du législateur
Malheureusement pas la seule. On pourrait citer GOGOLE, AMAZON, et beaucoup d'autres de la nouvelle et de l'ancienne économie qui pratiquent l'optimisation/évasion fiscale et faisant voter/changer les lois comme ça les arrangent.
2  0 
Avatar de emilie77
Membre averti https://www.developpez.com
Le 31/12/2018 à 10:21
4% de la facturation mondiale de Facebook?
1  0 
Avatar de herr_wann
Membre actif https://www.developpez.com
Le 31/12/2018 à 21:44
Cette société est un véritable cancer pour internet, elle bafoue délibérément la volonté des internautes de ne pas être pisté dans l'indifférence générale du législateur
1  0 
Avatar de jpiotrowski
Membre averti https://www.developpez.com
Le 06/01/2019 à 0:26
4 % du chiffre d’affaires mondial s’agissant des entreprises ou 20 millions d’euros d’amende
0  0 
Avatar de LeBreton56
Nouveau membre du Club https://www.developpez.com
Le 07/01/2019 à 9:15
Je pense que ce type de comportement dans de l'open devrait être chassé, dénoncé, puni!
Le peut-on ?
0  0 
Avatar de rsuinux
Membre régulier https://www.developpez.com
Le 07/01/2019 à 13:47
question aux développeurs: J'ai désactivé l'application facebook sur mon S8, mais cela suffit il pour supprimer les envois de donnée(s) vers leurs serveurs? Et plus généralement, le fait de désactiver une application (on ne peut pas la supprimer purement et simplement), suffit il pour empêcher l'envoi de données? C'est à finir par devenir parano...!!!
0  0 
Avatar de Bigb
Membre actif https://www.developpez.com
Le 09/01/2019 à 16:07
Facebook est une véritable pieuvre en matière de collecte de données privées. A fuir et a bannir!
0  0 
Avatar de candide02
Membre habitué https://www.developpez.com
Le 06/01/2019 à 10:57
on voit, avec l'utilisation de ce réseau asocial qu'un petit % d'individu peut se servir de ce logiciel pour fomenter un insurrection, donc ma question : l'état peut-il interdire facebook et corolaire l'état peut-il utiliser les données de facebook pour surveiller le groupe d'agitateurs ?
0  1