« Hors de controle », voila comment le conseil norvegien des consommateurs qualifie nos pratiques publicitaires modernes. L’agence gouvernementale a demande a une entreprise de cybersecurite de se pencher i propos des pratiques de gestion des donnees de 10 applications populaires. Leur panel s’est porte sur des applications qui manipulent des informations personnelles sensibles : suivi du cycle menstruel (MyDays, Clue), aide a J’ai priere (Muslim : Qibla Finder), retrouve amoureuses (Tinder, Grindr, OkCupid)… Notre bilan est accablant : l’ensemble de communiquent une partie des donnees de leurs utilisateurs a des entreprises tierces, a des fins publicitaires.
Dans la majorite des cas, l’utilisateur n’a pas pu emettre un consentement eclaire sur ces confortables, tel le requiert pourtant la loi europeenne. Parmi ces mauvais eleves, l’application de rencontre Grindr se distingue par la exactitude des donnees qu’elle communique, et le nombre de destinataires a qui elle les envoie — alors meme que ses millions d’utilisateurs appartiennent majoritairement a J’ai communaute LGBTQ+, particulierement visee par des discriminations. Le conseil norvegien des consommateurs a donc decide d’attaquer l’entreprise en justice, Afin de multiples violation du reglement europeen sur la protection des precisions (RGPD). Ce type d’infraction est passible d’une amende du montant le plus eleve entre 20 millions d’euros et 4 % du chiffre d’affaires annuel de l’entreprise.
Quelles informations sont concernees ?
Les informations communiquees a des firmes tierces par les applications sont de deux types, au regard du RGPD :
- Les donnees personnelles : date maternel, age, adresse IP [un numero associe a votre appareil electronique, ici au smartphone, ndlr], coordonnees GPS (localisation), l’advertising ID [un identifiant attribue via Android qui permet de suivre une personne entre les applications, ndlr].
- Les informations sensibles, un sous-ensemble i nouveau plus protege dans la loi, car elles peuvent servir a discriminer certains groupes : genre, orientation sexuelle, opinions religieuses.
Detail du type de donnees et du nombre de destinataires adresses avec des applications. // Source : Forbrukerradet
Chacune des 10 applications communique votre plus ou moins large panel des donnees, de facon plus ou moins precise (cf. image ci-dessus), a des tiers. Les auteurs de l’etude insistent particulierement via Grindr, Tinder et OkCupid, qui procurent nos precisions relatives a l’orientation sexuelle de leurs utilisateurs. Pourtant, Grindr s’etait deja fait epingle apres avoir partage le statut serologique de ses utilisateurs.
Qui recupere des informations ?
En tout, les auteurs de l’etude ont recense 135 firmes destinataires des donnees, dans une liste non-exhaustive. Elles ont des noms inconnus des non-specialistes comme AppsFlyer, LeanPlum, AdColony, mais on trouve aussi des filiales de Google, Facebook ou encore Twitter. J’ai majorite d’entre-elles paraissent des data-brokers : un activite reste d’agreger ainsi que combiner de grandes quantites de donnees de consommateurs, issues de plusieurs sources, publiques comme privees, afin de nos revendre.
Elles partagent donc toutes vos donnees a des entreprises de marketing, d’estimations des dangers ou de prevention a J’ai fraude. Vos renseignements se propagent ainsi de serveur en serveur de facon invisible, sans que vous ne puissiez donner ou retirer la consentement.
« Ces entreprises ont des pratiques de collecte et d’utilisation des donnees des consommateurs dont la legalite est questionnable. J’ai colonne vertebrale de votre systeme publicitaire pourrait etre de facon systemique contraire au RGPD », ecrivent les auteurs de l’etude. D’apres un article universitaire, quand un site demande de facon claire a ses visiteurs s’ils acceptent le partage de leurs informations a des acteurs tiers a des fins publicitaires, ils refusent dans 99,9 % des cas.
Que peut-on Realiser avec mes donnees ?
Plus un publicitaire — ou votre hacker — aura https://j8t9a5u8.stackpathcdn.com/wp-content/gallery/bishoptd-jakes35/bishop-jakes-son-and-son-in-law.jpg” alt=”site de rencontre pour agriculteurs aux usa”> 1 large panel de informations sur une meme personne, plus il lui sera facile de reperer les donnees qui lui manquent concernant completer un profil. Entre autres, si l’adresse IP parait etre une donnee a faible valeur, elle permettra en fait de coder votre profil tracable un coup recoupee a d’autres.
« L’adresse IP n’est nullement un indicateur fort fiable. Mais elle permet, entre autres, de savoir que c’est la meme personne qui est revenue sur le site a deux heures d’intervalle. Et quand on combine l’adresse IP avec l’age et le genre en personne, on dispose d’une empreinte quasi unique. On peut ainsi traquer son comportement, sans avoir son nom ou 1 identifiant tel l’adresse email », previent Gaetan Notre Guelvouit, responsable du laboratoire confiance & securite chez b<>com, interroge avec Cyberguerre de Numerama.
Cette empreinte va permettre entre autres aux annonceurs de personnaliser les publicites qu’ils vous afficheront par rapport i la genre, de votre age et de votre comportement, c’est-a-dire des autres pages internet que vous auriez pu visiter. Cette fonctionnel a deja abouti a maints debordements. Pourquoi pas, Facebook avait permis aux annonceurs de cibler des conspirationnistes antisemites qui pensaient que des Juifs preparaient votre « genocide blanc ». Un an plutot, l’entreprise californienne un permettait d’exclure la plupart ethnies de un ciblage publicitaire.
Les informations encore plus exposees a toutes les dangers
D’autres precisions permettront a elles seules de deduire plusieurs renseignements. « Dans ces revelations, c’est l’acces a toutes les donnees GPS qui me derange le plus. Il faut juste tomber sur certains recurrences en deplacements, ainsi, on va pouvoir facilement identifier le lieu d’embauche et le domicile une personne. Ensuite, vous pourrez faire l’adresse au milieu des pages blanches pour trouver son nom. Quand on dispose de l’age ou d’une date de naissance, on va pouvoir aussi confirmer ce qu’on a deniche », developpe le chercheur.
En terme de securite, il s’agit d’un grand desastre. Chaque fois que toutes vos precisions paraissent partagees a une nouvelle entreprise, vous etes exposes a votre nouveau risque de fuite ou d’ attaque. Or, si des acteurs malveillants mettent mon tour sur des donnees d’une telle valeur, ils pourront causer de nombreuses dommages. Par exemple, votre hacker pourrait Realiser du chantage aupres de personnes homosexuelles n’ayant pas fera un coming-out. Pire, il pourrait menacer un vie. Usurpation d’identite, espionnage, les menaces paraissent grandes.
Que puis-je Realiser pour couvrir les precisions ?
J’ai meilleure solution reste evidemment d’effacer l’ensemble des informations que vous pourrez ainsi que quitter l’application. Mais si vous souhaitez rester via ces applications de rencontre, les possibilites paraissent limitees. « Il existe des applications qui peuvent permettre de faire des fausses precisions GPS, on va pouvoir mentir via le age ou le genre…. mais on perd alors l’interet de l’application », rappelle Gaetan Le Guelvouit. A minima, vous pourrez utiliser un VPN Afin de masquer la adresse IP, ce va etre toujours une donnee pertinente de moins.
« Le principal probleme, c’est que ces applications paraissent hypocrites. Pour les specialistes d’une cybersecurite, Cela reste simple qu’elles vont revendre les donnees, car un valeur est importante. Mais puisque nos utilisateurs seront confrontes en permanence a ce genre de scandale, ils s’y habituent et ne considerent jamais les risques… », regrette L’expert.
