CNIL / Inria : Mobilitics trouve trop de données perso utilisées sous iOS

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités CNIL / Inria : Mobilitics trouve trop de données perso utilisées sous iOS

Publié le 10 avril 2013 à 12:00 par Christian D.

Lire sur mobile

La CNIL et l'Inria ont développé un outil Mobilitics sur iOS qui analyse l'utilisation des données personnelles au sein de la plate-forme dans des conditions d'utilisation réelles.

Ce n'est pas la première fois que la CNIL s'intéresse à la façon dont sont gérées les données personnelles sur iOS (et sur d'autres plates-formes mobiles), à la suite de divers cas de fuites d'informations ou de manquement sur la protection de ces données sensibles.

Allant plus loin dans l'étude de la diffusion de ces informations au sein des plates-formes mobiles, elle a exploité un partenariat avec l'Inria pour développer un outil Mobilitics sur iOS permettant une analyse fine et surtout en conditions réelles d'utilisation, marquant une rupture par rapport aux expérimentations classiques et formelles en laboratoire.

Le projet reste expérimental en soi et ne saurait encore se substituer aux méthodes classiques mais il apporte un éclairage "in vivo" complémentaire. L'outil Mobilitics a été déployé sur 6 iPhone utilisés comme des smartphones personnels durant trois mois.

Pendant cette période, 9 Go de données ont été téléchargées, 189 applications utilisées et 7 millions d'événements ont été consignés pour analyse. A partir de ce petit échantillon, la CNIL observe de nombreux accès réseau et aux données de géolocalisation sans réelle justification, ainsi que des accès aux données personnelles parfois importants au regard des besoins des applications, soit par erreur de conception des logiciels soit par facilité en ne mettant pas de mécanisme de sécurité.

Elle observe que 15% des applications ont accédé au nom de l'appareil, sans doute à des fins d'identification pour l'analyse de l'utilisation du logiciel ou pour repérer les différents appareils détenus par un même utilisateur, tandis que les recours à des identifiants uniques comme l'UDID sont restés très nombreux, pour 87 applications sur les 189 présentes sur les iPhone en test.

Apple a indiqué que l'accès à cet identifiant UDID ne sera plus permis et remplacé par des identifiants temporaires mais la CNIL s'inquiète du manque de moyens de contrôle côté utilisateur sur ces traceurs et de l'impossibilité de les neutraliser alors qu'ils fleurissent dans les applications mobiles.

Beaucoup de données personnelles, peu de contrôle laissé à l'utilisateur
Par ailleurs, les exploitants des données personnelles des utilisateurs continuent de rester invisibles aux yeux des consommateurs qui ne savent donc pas à quelles fins sont destinées ces informations sensibles et dans quelle mesure elles sont utilisées pour reconstituer leurs habitudes et usages sur mobile, alors qu'ils sont scrutés par des acteurs toujours plus nombreux et diversifiés.

La CNIL rappelle donc aux différents acteurs de la chaîne la nécessité d'une responsabilisation et d'un encadrement des pratiques et du développement des applications et services en suivant les recommandations du G29 (qui regroupe les CNIL européennes).

Prochaine étape : déployer l'outil Mobilitics sur Android et observer de la même façon comment sont exploitées les données personnelles sur la plate-forme mobile de Google, à l'heure où certains acteurs dénoncent auprès de la Commission européenne la partiques anticoncurrentielles du géant de la recherche sur les usages mobiles.