Grâce à son kit de développement mobile, le réseau social collecte des données plus ou moins sensibles de la part des utilisateurs Android, sans que ces derniers ne soient au courant.
Vous détestez Facebook et vous avez fermé votre compte pour ne plus transmettre aucune donnée personnelle à ce réseau social ? Pas de chance. La firme de Mark Zuckerberg va quand même récolter des données sur vous au travers de votre smartphone Android. Beaucoup d’applications mobiles intègrent en effet le kit de développement de Facebook (SDK) pour – par exemple – générer des statistiques d’usage, gérer les comptes d’utilisateurs ou lancer des campagnes publicitaires à propos de cette application. Ce SDK transmet des données à Facebook.
Afin d’en savoir plus, l’association Privacy International a mis en place une infrastructure d’interception de type « Man in the middle » pour analyser les interactions de 34 applications mobiles Android particulièrement populaires et contenant ce SDK. Parmi ces applications figurent Spotify, MyFitnessPal, Duolingo, Kayak, Shazam, Muslim Pro ou TripAdvisor. Les résultats de cette étude ont été présentés il y a quelques jours, à l’occasion de la conférence 35C3 du Chaos Computer Club, à Leipzig.
Des envois parfois riches et systématiques
Première constatation : 61 % des applications analysées envoient des données à Facebook dès le premier lancement, sans rien demander à l’utilisateur. Ces données contiennent, entre autres, l’identifiant publicitaire Google et des informations techniques (modèle de smartphone, résolution d’écran, langue, zone horaire, version d’Android, etc.). Par la suite, ces applications enverront une notification à chaque fois que l’application sera ouverte ou fermée.
Certaines applications vont aller beaucoup plus loin et envoyer à Facebook des données beaucoup plus riches et de manière plus ou moins régulière. C’est le cas notamment de Kayak qui va partager avec Facebook les détails de chaque recherche de vol aérien (date de départ, date d’arrivée, ville de départ, ville d’arrivée, nombre de passager, classe).
Ces envois de données sont effectués à chaque fois, même si l’utilisateur n’est pas connecté à son compte Facebook, et même s’il ne possède pas de compte Facebook.
Sur son site Web, Privacy International donne tous les détails sur les données transmises par ces différentes applications.
Que fait Facebook de ces données ?
Selon l’association, ces transferts de données sont problématiques à plusieurs titres. Tout d’abord, l’utilisateur n’est jamais informé de leur existence. Facebook, pour sa part, s’en lave les mains. Pour le réseau social, c’est au développeur de respecter les lois relatives à la collecte de données, comme le RGPD en Europe. Mais selon Privacy International, cette responsabilité pourrait être partagée compte tenu du rôle primordial que joue le SDK dans le développement des applications.
L’autre grand problème, c’est que personne ne sait vraiment ce que Facebook fait de ces données. Le réseau social explique que ces données ne sont pas utilisées pour le profilage publicitaire. Mais elles peuvent servir à autre chose comme la création d’une base de données publicitaire sans profilage, l’analyse statistique ou « la recherche et le développement ». « Sans davantage de transparence de la part de Facebook, il est impossible de savoir comment les données décrites dans ce rapport sont utilisées », estime Privacy International.
Le pare-feu, unique protection à l’heure actuelle
Enfin, il n’est pas facile pour l’utilisateur d’échapper à ces transferts de données.
Les applications ne le permettent pas. L’unique moyen à ce jour est d’utiliser des applications de filtrage de trafic comme NetGuard ou AFWall+. Mais celles-ci ne sont pas simples à paramétrer et nécessitent parfois de rooter le smartphone.
Facebook n’est pas le seul à collecter des données par le biais d’un SDK. Le grand maître en la matière est Google.
Une étude réalisée en octobre 2018 par des chercheurs d’Oxford a montré que les modules et trackers de ce géant du Web étaient inclus dans 88 % des applications Android, contre 42 % pour Facebook.
Se ruer sur les smartphones d’Apple n’est pas forcément une solution non plus, car il est probable que cette collecte existe également sur iOS…