Plusieurs applications iOS ignorent l'interdiction de traçage
En fait, les utilisateurs d’iPhone et d’iPad peuvent décider eux-mêmes, dans les versions actuelles d’iOS, si les applications sont autorisées ou non à enregistrer leurs activités en dehors de l’application. Cependant, de nombreux programmes populaires semblent ne pas respecter ces directives.
C’est ce qui ressort d’une enquête du Washington Post en partenariat avec l’entreprise de protection des données Lockdown Privacy, qui ont documenté (en anglais) le comportement de traçage de dix applications téléchargées fréquemment. Résultat : le traçage n’a presque pas été modifié, malgré l’introduction du service anti-traçage d’Apple (App Tracking Transparency). Que les utilisateurs autorisent ou non les applications à collecter les données de manière générale ne rentre pas en compte. Dans l’enquête, par exemple, les programmes ont continué à collecter les adresses IP et des informations sur les appareils avec lesquelles ils peuvent clairement identifier les utilisateurs. Parmi les applications en cause figurent des programmes populaires tels que le jeu Subway Surfers et le service d’évaluation Yelp.
Un traçage au-delà des applications et des sites internet
Apple avait introduit son App Tracking Transparency fin avril avec iOS 14.5 (en allemand). Depuis lors, les applications doivent d’abord demander la permission aux utilisateurs et utilisatrices s’ils veulent que soient collectées leurs données ou leurs activités à des fins publicitaires ; cela se produit généralement lorsque l’application est lancée sur l’appareil pour la première fois.
Dans l’enquête (en anglais), des programmes comme Subway Surfers ont pourtant ignoré en grande partie l’interdiction des utilisateurs. Par exemple, sur les iPhones équipés d’iOS 14.8 et iOS 15, le jeu a envoyé sans autorisation 29 informations spécifiques permettant d’identifier l’appareil à une société de publicité appelée Chartboost. Il s’agit notamment de propriétés telles que la quantité d’espace de stockage libre, le réglage du volume et le niveau de charge de la batterie.
Individuellement, ces données ne sont pas très significatives ; cependant, combinées les unes aux autres, elles fournissent une image globale à l’aide de laquelle les annonceurs peuvent clairement identifier et suivre des appareils ou des utilisateurs individuels sur différentes applications et sites web. Les utilisateurs n’ont aucun moyen d’empêcher ce comportement de « prise d’empreintes ». Parmi les applications examinées, outre Subway Surfers, les jeux Streamer Life ! et Run Rich 3D ont également envoyé de telles données aux réseaux publicitaires.
En fait, l’identifiant publicitaire alias « IDFA » (Identifier for Advertisers) sert d’identifiant unique pour les annonceurs sur l’iPhone et l’iPad. Un code IDFA unique est attribué à chaque appareil, ce qui permet de suivre les utilisateurs d’une application à l’autre. Toutefois, si l’utilisateur refuse le suivi, le fournisseur de l’application n’a pas accès à l’IDFA. Les entreprises ont donc cherché des alternatives au pistage, comme la prise d’empreintes.
Le paramètrage n’avait presque pas d’incidence
Lockdown Privacy a critiqué dans l’enquête le fait que presque toutes les applications envoyaient des données non contrôlées à des entreprises spécialisées dans la collecte de données (les « traceurs tiers »). Le fait que les utilisateurs aient autorisé ou non le suivi n’a eu aucune influence sur le nombre de transferts de données. Les intervalles de transfert de données avaient à eux seuls diminué de 13 %.
L’application de service d’évaluation Yelp, par exemple, a contacté 42 annonceurs lorsqu’elle disposait d’une autorisation ; sans autorisation de traçage, ce nombre a été réduit à 39 seulement. Parmi eux, dans les deux scénarios, figuraient des géants du secteur tels que Facebook, Comscore et Branch. La version américaine de l’application de la chaîne de cafés Starbucks ne demandait même pas la permission et envoyait systématiquement des données à 21 services de suivi, dont Google Analytics et Branch.
« Lorsqu’il s’agit d’arrêter les traceurs tiers, ATT est un raté. Pire encore, la possibilité d’appuyer sur le bouton “Demander à l’app de ne pas suivre mes activités” peut donner aux utilisateurs une fausse impression de confidentialité », a commenté Johnny Lin, cofondateur de Lockdown et ancien ingénieur chez Apple iCloud, auprès du Washington Post.
Pas de prise de conscience
En fait, les conditions de vente d’Apple interdisent d’aller à l’encontre des décisions des utilisateurs. Le Washington Post a donc informé Apple du non-respect de ces règles par les applications. Bien que le groupe ait promis d’examiner la question et d’enquêter auprès des éditeurs d’applications, rien n’a changé, même après plusieurs semaines.
Le journal a également contacté les développeurs d’applications et les entreprises publicitaires concernés. Les éditeurs de Subway Surfers ont répondu de manière laconique : « Pour que le jeu fonctionne correctement, certaines données sont transmises à des réseaux publicitaires ». Les autres sociétés n’ont pas répondu du tout ou ont fait des déclarations tout aussi incomplètes.
Selon les auteurs, le problème réside dans la définition qu’Apple donne du traçage : Apple n’inclut que les données collectées par différentes entreprises et combinées à des fins publicitaires ou de revente à des courtiers en données. En revanche, la collecte et la transmission de données à des fins d’analyse ou de prévention des fraudes ne sont pas interdites. Il suffit de déclarer publiquement que les informations sont collectées à ces fins.
Les paramètres correspondants à ATT se trouvent sur les appareils iOS à la rubrique « Confidentialité → Suivi ». Toutefois, comme le montrent les résultats des tests, il ne faut absolument pas se fier à cette protection. (hcz)