{"id":13625,"date":"2020-01-27T09:23:40","date_gmt":"2020-01-27T09:23:40","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=13625"},"modified":"2020-01-27T09:23:40","modified_gmt":"2020-01-27T09:23:40","slug":"36c3-period-apps","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/36c3-period-apps\/13625\/","title":{"rendered":"Les applications de suivi du cycle menstruel partagent des donn\u00e9es de sant\u00e9 avec des entreprises partenaires"},"content":{"rendered":"

Certaines applications pour smartphones rappellent aux utilisateurs de prendre leurs m\u00e9dicaments ; d\u2019autres surveillent la qualit\u00e9 du sommeil, comptent les pas ou les calories, etc. Ce ne sont pas les applications qui manquent pour surveiller notre sant\u00e9 et notre bien-\u00eatre ! Souvent, ces programmes exigent des utilisateurs qu\u2019ils partagent des donn\u00e9es tr\u00e8s personnelles sur leurs sentiments, leurs humeurs, leurs diagnostics\u2026 H\u00e9las, tous ne traitent pas ces informations priv\u00e9es avec le soin n\u00e9cessaire.<\/p>\n

Lors du 36c3<\/a>, l\u2019organisation de d\u00e9fense des droits de l\u2019homme Privacy International a partag\u00e9 les r\u00e9sultats de l\u2019\u00e9tude<\/a> des applications intimes qui aident les femmes \u00e0 pr\u00e9dire la date de leurs r\u00e8gles, \u00e0 contr\u00f4ler leur sant\u00e9 reproductive et planifier leurs grossesses. Il s\u2019est av\u00e9r\u00e9 que certaines d\u2019entre elles abusent de la confiance de leurs utilisatrices et vont jusqu\u2019\u00e0 partager des informations intimes avec Facebook et d\u2019autres entit\u00e9s.<\/p>\n

Qu\u2019est-ce que Facebook peut voir exactement ?<\/h2>\n

Les chercheurs ont examin\u00e9 deux applications pour leur \u00e9tude : Maya et MIA (5 millions et 1 million de t\u00e9l\u00e9chargements sur Google Play, respectivement). L\u2019\u00e9tude \u00e9tait tr\u00e8s simple : Privacy International a simplement examin\u00e9 le trafic sortant des applications, qu\u2019ils ont ex\u00e9cut\u00e9es dans un bac \u00e0 sable<\/a>, et analys\u00e9 les donn\u00e9es que celles-ci transf\u00e9raient et leur destination. Le moins qu\u2019on puisse dire, c\u2019est que les r\u00e9sultats se sont av\u00e9r\u00e9s int\u00e9ressants.<\/p>\n

D\u00e8s le premier lancement, avant m\u00eame de faire conna\u00eetre aux utilisatrices leur politique de confidentialit\u00e9, les deux applications ont contact\u00e9 Facebook et d\u2019autres partenaires. Maya a envoy\u00e9 des donn\u00e9es \u00e0 la plateforme d\u2019analyse CleverTap, et MIA a fait de m\u00eame avec AppsFlyer, qui fournit \u00e9galement des services d\u2019analyse aux d\u00e9veloppeurs.<\/p>\n

MIA a tout de suite voulu savoir si l\u2019utilisatrice avait install\u00e9 l\u2019application pour pr\u00e9parer une grossesse ou simplement pour surveiller son cycle menstruel \u2013 et a rapidement inform\u00e9 ses partenaires des r\u00e9ponses. Elle a fait de m\u00eame pour les d\u00e9tails comme le moment et la dur\u00e9e du cycle de la femme. Ensuite, le programme a essay\u00e9 d\u2019avoir le plus d\u2019informations possible sur l\u2019utilisatrice : ses \u00e9motions, sa contraception, ses habitudes en mati\u00e8re de caf\u00e9ine, d\u2019alcool et de tabac. L\u2019application a m\u00eame tent\u00e9 de collecter des informations sans rapport avec la sant\u00e9 des femmes, par exemple sur les coiffures et les manucures.<\/p>\n

L\u2019application propose des articles d\u2019actualit\u00e9 sur la base des informations recueillies, ainsi que de ses propres conclusions sur la phase du cycle dans laquelle se trouve la femme. Cela semble inoffensif et m\u00eame utile\u2026 \u00e0 un d\u00e9tail pr\u00e8s : la liste des articles qui permettait de comprendre clairement ce que l\u2019utilisatrice avait indiqu\u00e9 \u00e0 l\u2019application a \u00e9t\u00e9 envoy\u00e9e \u00e0 Facebook et AppsFlyer.<\/p>\n

L\u2019approche de Maya \u00e9tait un peu moins cr\u00e9ative. L\u2019application a transmis tout ce qu\u2019elle a appris : des informations sur le bien-\u00eatre, l\u2019humeur, les contraceptifs, les produits d\u2019hygi\u00e8ne personnelle, l\u2019activit\u00e9 sexuelle, etc. Ce programme ne posait pas de questions sur les coiffures ou les manucures, mais il offrait une fonction de journal personnel et transmettait scrupuleusement son contenu \u00e0 Facebook et \u00e0 CleverTap.<\/p>\n

En plus de toutes ces informations, les applications transmettent \u00e9galement toutes les donn\u00e9es personnelles comme l\u2019adresse e-mail ou l\u2019identifiant d\u2019appareil unique.<\/a>. Pour les utilisatrices qui ont un compte Facebook, cette seule information pourrait suffire \u00e0 les identifier, m\u00eame si elles n\u2019ont pas install\u00e9 l\u2019application Facebook sur leur t\u00e9l\u00e9phone. En d\u2019autres termes, Facebook sait parfaitement \u00e0 qui appartiennent les donn\u00e9es qu\u2019il re\u00e7oit.<\/p>\n

Pourquoi les entreprises veulent autant de donn\u00e9es personnelles<\/h2>\n

Arm\u00e9s d\u2019informations sur la sant\u00e9, l\u2019humeur et la vie intime d\u2019un utilisateur, les r\u00e9seaux publicitaires, Facebook compris, peuvent vendre de mani\u00e8re plus rentable les biens et services des annonceurs. Les publicit\u00e9s ciblant sp\u00e9cifiquement les femmes enceintes co\u00fbtent par exemple dix fois plus cher que les publicit\u00e9s non cibl\u00e9es parce qu\u2019elles sont beaucoup plus susceptibles de mener \u00e0 un achat. (Les besoins d\u2019achat d\u2019une femme enceinte sont pr\u00e9visibles dans une certaine mesure et, de plus, il est possible qu\u2019elle fasse certains achats pour la premi\u00e8re fois et qu\u2019elle connaisse peu les marques existantes ; les annonceurs qui la contactent en premier ont donc une grande chance d\u2019influencer son choix).<\/p>\n

Mais la publicit\u00e9 n\u2019est pas le pire. Les informations intimes relatives \u00e0 la sant\u00e9 qui tomberaient entre de mauvaises mains pourraient influer, par exemple, le co\u00fbt de l\u2019assurance maladie. Autre exemple encore : un employeur potentiel qui sait qu\u2019une candidate \u00e0 un emploi a l\u2019intention de tomber enceinte pourrait donner la pr\u00e9f\u00e9rence \u00e0 une autre personne. Une femme enceinte peut m\u00eame ne pas \u00eatre autoris\u00e9e \u00e0 prendre un vol international<\/a>. Et vous n\u2019avez s\u00fbrement pas envie que Facebook soit au courant de choses dont vous n\u2019avez m\u00eame pas parl\u00e9 \u00e0 votre meilleure amie.<\/p>\n

Les d\u00e9veloppeurs de Maya affirment que toutes les demandes de l\u2019application sont n\u00e9cessaires pour son fonctionnement. C\u2019est partiellement vrai. Les m\u00e9dicaments hormonaux, l\u2019augmentation du stress et les habitudes telles que le tabagisme<\/a> peuvent alt\u00e9rer le cycle menstruel, et les sautes d\u2019humeur, les douleurs abdominales et d\u2019autres sympt\u00f4mes peuvent indiquer que les r\u00e8gles arrivent. Cependant, une bonne quantit\u00e9 des informations requises n\u2019ont pas d\u2019incidence ou presque sur l\u2019exactitude du diagnostic.<\/p>\n

Les d\u00e9veloppeurs abandonnent Facebook Analytics<\/h2>\n

Il y a cependant de bonnes nouvelles : \u00e0 ce jour, ni Maya ni MIA ne transmettent plus d\u2019informations \u00e0 Facebook. Les chercheurs ont contact\u00e9 les d\u00e9veloppeurs des applications, qui ont rapidement supprim\u00e9 l\u2019outil Facebook Analytics responsable de l\u2019envoi des donn\u00e9es. Il est vrai que les deux applications utilisent toujours CleverTap et AppsFlyer.<\/p>\n

Il s\u2019est donc av\u00e9r\u00e9 qu\u2019il n\u2019\u00e9tait pas vraiment n\u00e9cessaire de transf\u00e9rer les donn\u00e9es \u00e0 Facebook : les d\u00e9veloppeurs avaient simplement int\u00e9gr\u00e9 un syst\u00e8me d\u2019analyse suppl\u00e9mentaire sans jamais se soucier de la destination des donn\u00e9es.<\/p>\n

Les cr\u00e9ateurs de Maya affirment qu\u2019aucune tierce partie n\u2019a acc\u00e8s aux informations<\/a> qui se trouvent sur les serveurs de CleverTap. Les d\u00e9veloppeurs de la plateforme affirment que la solution se trouve dans la conformit\u00e9 au R\u00e8glement G\u00e9n\u00e9ral de Protection des Donn\u00e9es (RGPD), et que ses algorithmes analytiques traitent des pools de donn\u00e9es anonymis\u00e9es. Si c\u2019est r\u00e9ellement le cas, la violation de la confidentialit\u00e9 de cette application peut maintenant \u00eatre consid\u00e9r\u00e9e minimale.<\/p>\n

La situation de MIA, qui fournit des donn\u00e9es d\u2019analyse \u00e0 AppsFlyer, est plus nuanc\u00e9e. En r\u00e9ponse aux demandes des chercheurs, la soci\u00e9t\u00e9 a affirm\u00e9 qu\u2019elle interdisait \u00e0 ses clients de stocker les donn\u00e9es personnelles intimes des utilisateurs, y compris celles relatives \u00e0 la sant\u00e9. AppsFlyer pr\u00e9tend avoir contact\u00e9 les d\u00e9veloppeurs de l\u2019application MIA pour qu\u2019ils revoient leur approche des outils d\u2019analyse. Mais comme le font remarquer les chercheurs, AppsFlyer est plut\u00f4t vague sur les donn\u00e9es qu\u2019elle croit devoir recueillir \u00e0 partir d\u2019applications qui fonctionnent sp\u00e9cifiquement avec des informations sur la sant\u00e9.<\/p>\n

Comment pr\u00e9venir l\u2019abus des donn\u00e9es personnelles<\/h2>\n

Lorsque vous communiquez des donn\u00e9es, et en particulier des donn\u00e9es intimes, \u00e0 une application, quelle qu\u2019elle soit, n\u2019oubliez pas que celle-ci peut partager vos donn\u00e9es avec une autre partie. Si vous ne pouvez pas vous passer d\u2019un service particulier, tenez compte des recommandations suivantes :<\/p>\n