Happés par nos apps

L’iPhone, le premier smartphone, n’a été commercialisé qu’en 2007. Soit presque hier. «Or un énorme écosystème s’est développé en quelques années, avec des centaines de milliers, voire des millions d’applications», relève Jean-Pierre Hubaux, professeur à l’Ecole polytechnique de Lausanne. Un écosystème qui ressemble à une toile gigantesque avec, en son centre, non pas une araignée, mais des serveurs. Beaucoup de serveurs. Pas vraiment Big Brother, plutôt big data. «Quand les gens installent une app, ils voient l’icône, mais pas ce qui se cache derrière. Or ce que fait une application, c’est bien souvent établir un canal entre un smartphone et un serveur.»

Dès lors, les apps sont souvent avides de permissions. Souvent pour des bonnes raisons: une app météo doit connaître votre localisation pour fournir ses prévisions; Shazam doit accéder au micro pour pouvoir fonctionner; Flashlight doit accéder au flash de l’appareil-photo pour faire office de lampe de poche. Mais il y a des abus: «Les intentions des développeurs ne sont pas toujours claires. Les apps ont une forte propension à demander plus de données que ce qui est nécessaire à leur fonctionnement.»

Prenons le cas de Brightest Flashlight: une lampe de poche a-t-elle besoin de connaître la localisation de son utilisateur? A l’évidence, non. Or l’app ne s’est pas gênée, revendant ces données à des régies publicitaires. Elle a été remise à l’ordre en 2013 aux Etats-Unis.

La vie privée, première victime du big data, est au cœur des travaux du laboratoire LCA1 dirigé par Jean-Pierre Hubaux. «Le smartphone est notre intermédiaire vis-à-vis d’internet. Et cela va s’accuser avec les capteurs corporels qui, limités en termes de batterie et de capacités de transmission, vont de plus en plus passer par le téléphone.» La menace plane donc sur les données personnelles, risque encore accru avec la mode du «quantified self», des capteurs d’activité et des enregistreurs de sommeil.

Echo politique, Jean-Christophe Schwaab a déposé un postulat en 2014, demandant que l’utilisateur puisse contrôler quelles informations son téléphone partage.

Oui une fois, et c’est pour la vie

Un projet en cours au sein du LCA1 poursuit, par la voie technique, le même objectif. Trois chercheurs, Italo Dacosta, Kévin Huguenin et Katarzyna Olejnik, développent une application Android pour sécuriser automatiquement l’accès aux informations privées. Pourquoi sous Android? D’abord parce que l’OS détient une part de marché mondiale de 84% (50% en Suisse) et qu’il appartient à Google. Potentiellement, il y a là un gigantesque effet de levier sur les données personnelles. Ce n’est pas tout: «Avec iOS, il est possible d’annuler une permission, pas sous Android», note Kévin Huguenin.

Autrement dit, quand on dit oui une fois, c’est pour la vie. Et c’est souvent tout ou rien: impossible de limiter l’accès à un seul contact du carnet d’adresses, par exemple. La solution en développement permet de contourner le problème: chaque fois qu’une app demande un accès, elle intercepte le message, et l’utilisateur décide ce qu’il veut faire. «On ne peut pas simplement refuser l’accès, il faut tricher, envoyer une information bidon.» L’utilisateur a trois options: accepter; refuser, ce qui revient à envoyer un calendrier vide ou une fausse localisation; brouiller, en réduisant par exemple la qualité d’une image ou la précision d’une localisation.

Voilà qui peut être laborieux. Le système élaboré au sein du labo de l’EPFL prend alors le relais: il va apprendre de vos décisions, et décider à votre place. De quoi couper l’herbe sous les pieds d’apps trop indiscrètes. Un premier prototype devrait être disponible fin 2015.

Applications suisses testées

Le labo LCA1 a analysé, à notre demande, le comportement de six apps à croix blanche (sous Android). Les résultats ne sont pas alarmants, même si on constate quelques accès de boulimie de données, souvent difficiles à interpréter: «Il n’est pas toujours évident de savoir s’il y a un risque, note Kévin Huguenin, qui a supervisé les tests. Certaines apps demandent des permissions problématiques, mais ne les utilisent pas forcément.» Le chercheur remarque encore que celles qui ne se financent pas par la pub se comportent généralement mieux.

MeteoSwiss	Que l’app utilise les données de géolocalisation, c’est normal. Mais MeteoSwiss, développée par l’Office fédéral de météorologie, le fait à haute fréquence, avec 86 requêtes en six jours, la plupart du temps sans qu’il y ait action de la part de l’utilisateur. «Ce type de comportement permet de réduire le temps de chargement, mais cela pourrait aussi servir à tracer l’utilisateur». MeteoSwiss est notée «A» par PrivacyGrade, service indépendant développé par Carnegie Mellon University, qui évalue les apps quant à la vie privée.
Mobile CFF	L’app demande beaucoup de permissions (contacts, localisation, etc.), mais ne les utilise effectivement que lorsqu’on lance certaines fonctionnalités (par exemple, lorsqu’on utilise l’adresse d’un contact comme destination). C’est une bonne pratique. Enfin, nous nous demandions pourquoi Mobile SBB recourait à l’accéléromètre. Un de nos lecteurs nous a soufflé la solution: si on secoue son smartphone, l'app affiche le dernier billet acheté. Une façon d'éviter le stress à l'arrivée du contrôleur. L'app est notée «A» par PrivacyGrade.
20 Minutes	L’app a envoyé 923 requêtes en cinq jours pour recevoir des données d’internet. Relativement normal pour un service d’actualité, même si ces requêtes ne servent pas qu’à afficher des news, mais aussi des pubs. A noter que 20 Minutes est la seule à ne pas demander la permission d’accéder à l’identité de l’utilisateur (c’est-à-dire son compte Gmail). Elle est notée «A» par PrivacyGrade.
SwissTraffic	Point noir: cette app se montre très avide dans la collecte des identifiants uniques, ceux du téléphone comme ceux de l’utilisateur. Qu’en fait-elle? Mystère. De plus, elle repose sur Google Maps, ce qui pose la question épineuse des services tiers, ajoutant un risque sur la vie privée. Elle est notée «B» par PrivacyGrade.
Threema	Cette messagerie pratique le cloisonnement, ce qui signifie qu’elle est scindée en plusieurs applications. L’app de base n’a besoin que d’un nombre limité de permissions, et ne demandera un accès à l’appareil photo que si vous installez le plug-in pour le lecteur de code QR. Idem pour l’accès au micro, requis uniquement si vous installez l’extension de messagerie vocale. C’est une bonne pratique. Threema, seule du lot, est payante, à 2 francs. PrivacyGrade n’évalue que les apps gratuites, l’app n’est donc pas notée; mais ses plug-ins reçoivent la note «A».
PostFinance	Cette app n’est pas très gourmande en termes de permission. Reste quelques étrangetés: PostFinance demande accès aux contacts et à la liste des appels, mais ne semble pas les utiliser. De même, elle accède à sa localisation quand l’utilisateur se logue et effectue des opérations. Dans ce cas, on peut supposer que c’est pour des raisons de sécurité, afin de détecter un usage frauduleux.