C’est fondamentalement impossible pour garder une trace de ce que font toutes vos applications mobiles et quelles données elles partagent avec qui et quand. Ainsi, au cours des deux dernières années, Apple et Google ont tous deux ajouté des mécanismes à leurs magasins d’applications destinés à agir comme une sorte d’étiquette nutritionnelle de confidentialité, donnant aux utilisateurs un aperçu du comportement des applications et des informations qu’elles peuvent partager. Ces outils de transparence, cependant, sont remplis d’informations autodéclarées par les développeurs d’applications eux-mêmes. Et une nouvelle étude axée sur les informations de sécurité des données dans Google Play indique que les détails fournis par les développeurs sont souvent inexacts.
Les chercheurs du groupe de logiciels à but non lucratif Mozilla ont examiné les informations sur la sécurité des données des 40 applications les plus téléchargées de Google Play et ont évalué ces divulgations de confidentialité comme «médiocre», «nécessite une amélioration» ou «OK». Les évaluations étaient basées sur la mesure dans laquelle les informations sur la sécurité des données correspondaient ou non aux informations contenues dans la politique de confidentialité de chaque application. Seize des 40 applications, dont Facebook et Minecraft, ont reçu la note la plus basse pour leurs divulgations de sécurité des données. Quinze applications ont reçu la note moyenne. Celles-ci comprenaient les applications Instagram et WhatsApp appartenant à Meta, mais également YouTube, Google Maps et Gmail appartenant à Google. Six des applications ont reçu la note la plus élevée, notamment Google Play Games et Candy Crush Saga.
“Lorsque vous arrivez sur la page d’application de Twitter ou sur la page d’application de TikTok et que vous cliquez sur Sécurité des données, la première chose que vous voyez est que ces entreprises déclarent qu’elles ne partagent pas de données avec des tiers. C’est ridicule, vous savez immédiatement que quelque chose ne va pas », déclare Jen Caltrider, chef de projet chez Mozilla. “En tant que chercheur sur la confidentialité, je pouvais dire que ces informations n’aideraient pas les gens à prendre des décisions éclairées. De plus, une personne ordinaire le lisant repartirait très certainement avec un faux sentiment de sécurité.
Google exige que tous les développeurs d’applications soumettant à Google Play remplissent le formulaire de sécurité des données. La logique est que les développeurs sont ceux qui disposent des informations sur la manière dont leur produit gère les données et interagit avec les autres parties, et non l’App Store qui facilite la distribution.
“Si nous constatons qu’un développeur a fourni des informations inexactes dans son formulaire de sécurité des données et qu’il enfreint la politique, nous demanderons au développeur de corriger le problème pour se conformer. Les applications qui ne sont pas conformes sont soumises à des mesures d’application », a déclaré Google aux chercheurs de Mozilla. La société n’a pas répondu aux questions de WIRED sur la nature de ces mesures d’application ou sur la fréquence à laquelle elles ont été prises.
Google réfute cependant la méthodologie des chercheurs. “Ce rapport confond les politiques de confidentialité à l’échelle de l’entreprise qui sont destinées à couvrir une variété de produits et services avec des étiquettes individuelles de sécurité des données, qui informent les utilisateurs des données collectées par une application spécifique”, indique la société dans un communiqué. “Les notes arbitraires attribuées par la Fondation Mozilla aux applications ne sont pas une mesure utile de la sécurité ou de l’exactitude des étiquettes étant donné la méthodologie erronée et le manque d’informations justificatives.”
En d’autres termes, Google affirme que les chercheurs de Mozilla ont mal compris la portée des politiques de confidentialité qu’ils examinaient ou ont même consulté les mauvaises politiques. Mais les chercheurs affirment que les politiques de confidentialité qu’ils ont utilisées dans leur analyse sont les politiques exactes auxquelles chaque développeur d’application est lié sur Google Play, indiquant qu’elles s’appliquent aux applications en question.
