Pourquoi εxodus ?

L'association loi 1901 Exodus Privacy a.k.a EP a rendu ses travaux publics le 24 novembre 2017. Depuis sa création, EP développe une plateforme d'analyse baptisée εxodus.

L'objectif de εxodus est de déterminer quels sont les pisteurs présents dans certaines applications Android. Ainsi, chacun des rapports énonce la liste (non exhaustive) des ingrédients contenus dans une application. Cette analyse est faite de façon totalement automatisée. Lorsqu'une personne demande l'analyse d'une application, celle-ci est téléchargée depuis Google Play et est ensuite analysée statiquement. Cela signifie que l'application n'est pas exécutée, εxodus ne fait qu'observer les fichiers binaires composants l'application à la recherche de signatures particulières. εxodus est donc incapable de déterminer si un pisteur détecté sera effectivement actif lors d'une utilisation humaine de l'application. De plus, il est impossible de garantir l'exhaustivité de cette liste d'ingrédients puisque εxodus se base sur une liste de pisteurs prédéfinie.

εxodus n'analyse pas les applications iOS pour des raisons légales puisque celles-ci sont distribuées sous DRM. Notons cependant que bon nombre des pisteurs listés dans εxodus sont disponibles pour Android et iOS.

Enfin, il n'est pas de la responsabilité de EP de déterminer la légitimité ou de quantifier sa dangerosité pour la vie privée. Il appartient à chacune et à chacun de s'approprier le sujet et de construire sa propre opinion.

Qu'est ce qu'un pisteur ?

Un pisteur, tel que défini par EP, est un « morceau » de logiciel en charge de collecter des informations sur la personne qui utilise une application, ou bien sur les usages ou l'environnement de cette personne. Un pisteur est très souvent distribué par une société sous la forme de SDK (Software Development Kit), une sorte de boîte à outils prête à l'emploi et destinée à faciliter la tâche des personnes développant des applications. Notons qu'il existe des pisteurs dits open source dont le code de ceux-ci est disponible et consultable par quiconque.

Tous les pisteurs sont-ils égaux ?

Non, tous les pisteurs ne font pas le même métier et ne représentent pas le même degré d'intrusion.

  • Crash reporting : ces pisteurs sont spécialisés dans la gestion des crashes des applications. En d'autres mots, l'objectif est de notifier la personne développant une application que celle-ci a présenté un dysfonctionnement. Ainsi, les informations collectées lors du crash de l'application permettront à cette personne de pouvoir corriger le dysfonctionnement.

  • Analytics : ces pisteurs sont prévus pour collecter des données d'usage et ainsi permettre à la personne développant une application de mieux connaître son audience. C'est l'équivalent des Google Analytics et Matomo que nous connaissons dans le monde du Web, mais pour les applications mobiles.

  • Profiling : ces pisteurs ont vocation à récupérer un maximum d'informations sur la personne qui utilise une application afin d'en construire un profil virtuel. Pour ce faire, ce type de pisteur va, par exemple, s'intéresser à l'historique de navigation ou encore à la liste des applications installées, etc.

  • Identification : ces pisteurs se chargent de déterminer votre identité numérique. Cette identité peut faire référence à une identité officielle ou bien à des identifiants abstraits (pseudonyme, etc). L'objectif sera, par exemple, de pouvoir corréler les activités en ligne et hors ligne d'une personne.

  • Ads : ces pisteurs ont pour but de d'identifier la personne qui utilise une application afin de lui présenter de la publicité ciblée. Cela n'est rendu possible et pertinent que si cette personne dispose déjà d'un profil virtuel. L'objectif pour la personne incluant ce type de pisteur est de monétiser son application, c'est-à-dire de gagner de l'argent grâce à la publicité.

  • Location : ces pisteurs sont en charge de déterminer la position géographique d'un mobile. Pour ce faire, ce type de pisteur peut tirer profit de plusieurs capteurs : de la puce GPS, des antennes GSM environnantes, des réseaux wi-fi environnants, des balises Bluetooth environnantes ou encore de sons particuliers émis par des hauts-parleurs.

Qui ajoute ces pisteurs ?

Pour répondre à cette question, il faut d'abord cerner comment sont fabriquées les applications, distinguons 2 cas.

Dans le premier cas, la société propriétaire sous-traite le développement de son application à une société tierce. Dans le contrat de prestation est défini ce que doit faire l'application et ce qu'elle doit mettre en œuvre comme technologies. Parfois, la société sous-traitante dispose d'un modèle d'application qu'elle réutilise pour chaque application. Il s'avère que certaines de ces sociétés intègrent, par défaut, certains pisteurs dans leur modèle d'application. Ainsi, toutes les applications qu'elles développeront embarqueront ces pisteurs sans même que cela soit explicité dans le contrat de prestation.

Dans le second cas, la société propriétaire d'une application développe elle-même son application. Ainsi, ce sont des personnes employées par cette société qui sont en charge d'inclure ou non certains pisteurs.

À quoi sert εxodus ?

Dans les faits, εxodus a attiré l'attention de 2 publics différents.

Le grand public
εxodus a permis au grand public de découvrir la liste de certains ingrédients qui composent les applications Android. Cela a eu pour effet que bon nombre de personnes ont commencé à se poser des questions sur la légitimité de ces pisteurs.

Les entreprises
εxodus a permis à plusieurs entreprises de prendre conscience que certains pisteurs présents dans leurs applications n'étaient pas censés y être incorporés. Certaines de ces entreprises ont, suite à la prise de connaissance du rapport εxodus de leurs applications, décidé de revoir leurs contrats de sous-traitance. Pour celles développant elles-mêmes leurs applications, celles-ci ont renforcé les contrôles qualité de leurs applications. Certaines entreprises ont, d'ailleurs, décidé d'utiliser les outils développés par EP afin d'améliorer la qualité de leurs applications.
Notons que la viabilité des outils de EP a été reconnue par la CNIL.

Conclusion

L'eco-système mobile est très vaste en terme d'usages et en terme de technologies. Les applications sont toujours plus complexes et offrent des services toujours plus poussés. Le développement d'applications mobiles est, tout comme le développement de n'importe quel logiciel, une tâche extrêmement complexe. L'arrivée des SDK a permis de faciliter et réduire les coûts de développement. Ainsi, ils cachent la complexité aux yeux des développeuses et développeurs. L'usage grandissant des SDKs (que ce soient des pisteurs ou non) engendre un effet pervers de perte de maîtrise sur ce que fait réellement une application. De plus, le développement d'un logiciel est très coûteux et les délais ne permettent plus, aujourd'hui, aux développeuses et développeurs de prendre le temps de maîtriser l'entièreté de leur travail.

Cette accélération technologique fait qu'aujourd'hui l'immense majorité des sociétés propriétaires d'applications mobiles considérées comme des mauvaises élèves le sont malgré elles. Il n'en reste pas moins qu'un petit nombre de sociétés mettent sciemment en péril la vie privée des personnes qui utilisent leurs applications.

Ainsi, il est désormais primordial que toutes les personnes intervenant dans la réalisation d'une application ainsi que celles qui utilisent une application prennent conscience que cet univers mobile est complexe et qu'il appartient à chacune de ces personnes d'être responsables de leurs actes.