Points de vue

La Liga convertit ses utilisateurs en espions, à leur insu

Garry Kasparov, 22 août 2019

Les logiciels de sécurité ne peuvent pratiquement rien faire lorsque les utilisateurs accordent eux-mêmes des autorisations étendues aux applications.

J’ai souvent écrit ici à propos de la façon dont les entreprises exploitent notre tendance à accepter les défauts de sécurité laxiste. Nous n’avons pas le temps de lire des milliers de pages de conditions d'utilisation ni de nous demander pourquoi un jeu mobile a besoin de connaître notre identité et notre emplacement géographique. (Pour tout vous dire, c’est généralement pour vendre ces informations à des annonceurs.) Une fois qu’on a donné la permission d’installer une application, on ne peut plus surveiller ses activités, même en supposant que les termes de l’accord sont respectés.

Prenons l’exemple de l’application officielle de la ligue de football espagnole, la Liga, qui a récemment fait la une des journaux. Installée plus de dix million de fois, l’application utilisait le micro des téléphones et les informations de localisation pour détecter si des bars ou restaurants retransmettaient illégalement des matchs de la Liga. En fait, l'application espionnait ses utilisateurs. Il s’agit évidemment d'un abus, d’autant plus que cette « fonctionnalité » de surveillance n'a pas été signalée aux utilisateurs. Inutile d’avoir beaucoup d'imagination pour réaliser le danger que cette affaire peut représenter.

J’ai été surpris d’apprendre par les experts en sécurité d'Avast que les logiciels de sécurité ne pouvaient rien faire dans ce type de cas : les utilisateurs eux-mêmes avaient donné à l'application l'autorisation de faire des enregistrements audio. Au moment de l'installation, l’application vous demande si elle peut utiliser l'emplacement et le micro de votre téléphone. Une fois que vous avez donné ces autorisations (qui a déjà refusé ces conditions requises pour installer l’application ?), les logiciels tiers peuvent s’en donner à cœur joie. Vous donnez carte blanche à l’entreprise et ne voulez pas recevoir de faux positifs à propos de ce que vous avez déjà approuvé. De même, les fabricants de téléphones veillent à ne pas créer d’obstacles de sécurité qui pourraient gêner leurs utilisateurs. Ils savent bien qu’ils ne feront pas les frais du prochain scandale sur la confidentialité, désormais si nombreux qu’on ne s'y intéresse plus.

Les atteintes à la vie privée et à la sécurité s’enchaînent si rapidement que les organismes de réglementation, bien qu’ils soient habilités à les traiter, n’arrivent pas à suivre le rythme. Quant aux particuliers, ils peinent à discerner les scandales importants des scandales inoffensifs qui se propagent de manière virale.

Par exemple, la vague de panique à propos de FaceApp s'est répandue presque aussi vite que l'application elle-même. En fait, l'application de retouche photo très populaire (dès sa sortie) provenait de Russie et collectait les données et images de ses utilisateurs.  Selon Nikolaos Chrysaidos, responsable de la veille contre les menaces mobiles chez Avast, je suis le dernier à avoir fait part de mes inquiétudes concernant les menaces provenant de Russie, mais cela a dépassé mes craintes. Pour moi, cela montre à quel point les gens prêtent peu d'attention à ces pratiques en général. FaceApp fait ce que font des millions d'autres applications : collecter vos données pour vous envoyer des publicités et vendre vos données à des tiers. Parmi ces acheteurs de données, peuvent figurer des chercheurs en politique, des agrégateurs de profils utilisateur voire... « les Russes ».

Ce statu quo est inacceptable. Conformément aux réglementations existantes en Europe en matière de protection de la vie privée (qui sont faibles mais toujours plus fortes que partout ailleurs), la Liga a été condamnée à une amende. Pour les grandes entreprises, ces pénalités font partie de leur budget. Leur montant ne devrait pas les dissuader puisque l’ensemble des modèles commerciaux repose sur la nécessité de repousser les limites de la collecte de données, de l’analyse de l’intelligence artificielle et du marketing. Le RGPD de l’Union européenne n’est pas parfait, il pourra être amélioré en testant davantage de mesures réglementaires. Pour être dissuasives, les amendes devraient peut-être être ajustées en fonction des revenus de la société incriminée, comme pour les contraventions de vitesse en Finlande. Aussi, plus de pays devraient se doter d’agences de protections des données, telles que la Agencia Española de Protección de Datos (AEPD) en Espagne ou la Commission nationale de l'informatique et des libertés (CNIL) en France. Et les citoyens devraient bien sûr suivre les recommandations de celles-ci.

D’ailleurs, vous serez peut-être exhortés à renforcer les paramètres de confidentialité de votre téléphone et à utiliser un logiciel de sécurité. Si vous ne le faites pas, vous pourriez être espionné par une application !