Élise et les cookies, le grand cash-cash de vos données personnelles...
Le prochain Cash Investigation, qui sera diffusé le 20/05 et qui est déjà disponible en [p]replay, s'intéresse à nos données personnelles...
« Dans cette nouvelle enquête, l’équipe de Cash va vous révéler comment vos téléphones vous espionnent et collectent des données très personnelles sur votre religion, votre moral ou votre grossesse sans votre consentement. Par exemple, lorsque vous vous connectez sur des sites de santé, vous transmettez des informations qui vont être envoyées à votre insu à des entreprises appelées des data brokers. C’est ainsi que vous recevez des publicités ciblées… Un marché colossal, estimé à 400 milliards d’euros en Europe. »
Mort aux cookies !
Les cookies sont un des aspects "visibles" - car médiatisés, notamment suite au RGPD [1] - du problème plus général de la protection de la vie privée et du pistage...
Pour faire une analogie macabre, assassiner quelqu'un, que ce soit avec une arme à feu ou des dragibus, c'est bien le résultat final qui pose problème et non l'outil utilisé...
Au final ce ne sont pas tant "les cookies" qui posent problème mais bien le pistage des individus, la collecte et le recoupement d'informations les concernant...
Mouchards de poche
Les cookies sont un des outils de pistage, sur le web ils sont omniprésents et d'un usage initial anodin. Mais entre les mains d'acteurs omniprésents [2] cet outil s'est transformé en balise infaillible permettant de suivre vos usages, de comprendre vos habitudes et de répertorier vos centres d'intérêt pour mieux vous analyser et vendre plus cher votre profil. C'est bien le nerf de la guerre, pour faire des profits ces acteurs vendent des espaces de pub, pour que leurs pubs soient efficaces il faut qu'elles soient adaptées à chaque personne, ainsi plus ils nous connaissent, plus ils peuvent nous servir des pubs "sur mesure" et plus celles-si sont lucratives...
Mais si le grand public commence à connaitre les cookies, il semble encore ignorer largement la "pièce montée du pistage" que sont les applications mobiles... On y retrouve les mêmes coupables, avec les mêmes méthodes et les mêmes objectifs... Pour créer une application mobile on peut soit tout construire "à partir d'une page blanche" soit on peut faire appel à des briques déjà existantes. Ces briques, souvent proposées gratuitement, permettent de construire plus rapidement et plus simplement des applications. Pratiques pour les "développeurs", économiques pour les "éditeurs", malheureusement ces briques embarquent bien souvent des pisteurs qui sont autant de point d'entrée vers notre vie privée. Sorte de cookie sous stéroïdes, ces pisteurs permettent un pistage bien plus intrusif. En effet sur nos smartphones les applications peuvent s’exécuter en permanence, littéralement 24h/24, et récupérer des données sur nous "en continue"... Et des données très variées, ça va de votre carnet d'adresses, à votre position géographique, en passant par l'accès au micro du téléphone sans oublier évidement votre historique de navigation...
L'application ce cheval de Troie qui vous la fait "à l'envers"
Pour les acteurs de la pub, l'application mobile est l'outil rêvé et permet de collecter de nombreuses et très précises données...
Vous l'aurez certainement noté, quand vous installez une nouvelle application celle-ci vous demande quasi systématiquement tout un tas d'autorisations pour utiliser des fonctions de votre téléphone ou accéder à des données sur celui-ci. Une fois infiltrée sur votre téléphone c'est "open bar", l'application n'a plus qu'à se servir et à exfiltrer vos données...
Voici pour exemple, ce que peut faire l'application d'un banque européenne :
Tout ça pour accéder à ses comptes bancaires, ça devrait éveiller les soupçons...
Vous devriez commencer à le comprendre, les cookies font pale figure à coté des pisteurs sournoisement cachés dans les applications mobiles...
Zone d'ombre et consentement pas très éclairé
Tout ceci est déjà très problématique, mais là où c'est particulièrement scandaleux c'est que tout cela se fait sans même que les utilisateurs en soit [correctement] informés, alors même que des lois existent pour tenter de réguler ces collectes...
Si les applications doivent vous demander des autorisations pour accéder à vos données, elles se cachent bien de déclarer quels sont les pisteurs qu'elles embarquent... Car en plus d'accéder à vos données, les applications revendent, voire même bien souvent offrent, à ces mêmes ogres de la données... Et le pire c'est qu'un grand nombre d'éditeur et de développeurs ignorent sciemment (ou pas) ces implications...
En France on a quelques acteurs de la publicité ciblée mais pour rééquilibrer on a aussi de courageuses associations qui ne manquent pas d'huile de co[u]de...
Exodus Privacy, dont Esther qui apparaît dans ce Cash Investigation est la développeuse principale, s'est attaquée dès 2017 à ce fléau. L'objectif de l'association est très simple : analyser les applications et présenter les autorisations souvent demandées abusivement et les pisteurs qu'elles embarquent... Voici en exemple le rapport d'analyse pour une application de maquillage :
56 permissions et 55 pisteurs : Cette performance a été réalisée en toute décontraction, sans même piquer un fard...
Cette application demande 56 permissions, c'est tout juste si elle ne demande pas les clefs de chez vous et votre code de carte bleue ; et elle embarque le nombre record de 55 pisteurs... Autrement dit si vous installez cette application vous permettez à une cinquantaine de sociétés d'accéder à toutes les données de votre téléphone...
Bref. Je fais quoi maintenant ?
Vous pouvez déjà creuser un peu pour mieux comprendre les mécanismes et l'ampleur du phénomène :
- Cash Investigation Nos données personnelles valent de l'or ! (français, 104 min, 2021)
- Nothing to hide rien à cacher (français, 86min, 2017)
Un autre documentaire exemplaire sur cette problématique de l'économie de la surveillance [3]... - Exodus Privacy
Sur son site l'association vous permet de consulter les rapports d'analyse de vos applications préférées. Elle propose également une application d'analyse à installer sur votre téléphone, des explications et en particulier des conseils pratiques et une sélection d'outils de "protection"... - Pour élargir un peu vous pouvez également vous intéresser aux travaux d'une autre association française : La Quadrature du Net
Autour de Cash Investigation
- Cash Investigation s'intéresse à l'exploitation des données personnelles où NextImpact résume l'enquête de Cash Investigation
- Premiers effets de ce Cash Investigation
- Toujours chez NextImpact Données des pharmacies et IQVIA : la CNIL s'explique et va mener des contrôles
- L’effet Cash Investigation sur l’appli "Ma Grossesse" par le bien nommé et très informé "Pixel de Tracking" qui se présente comme un "ancien de l'adtech" (comprendre le domaine des technologies de la publicité...)
[1] RGPD : Règlement général sur la protection des données
[2] On pense évidement aux GAFAM (Google, Apple, Facebook, Amazon, Microsoft) mais dans le domaine de "la pub" il y en a bien d'autres qui prospèrent loin du feu des projecteurs, notamment les "data brokers" ou en français les "courtier en données" qui collectent et vendent nos chères informations personnelles...
[3] L'Économie de la surveillance
Parution : 19/05/2021
Fil RSS