Comment Apple et Android utilisent vos données de géolocalisation sans que vous le sachiez

Nous connaissons tous les capacités de poursuite des systèmes de paiement modernes : achats dans des boutiques, retraits d’argents, passage de péages laissent des traces indélébiles dans les systèmes d’information des banques et il est relativement facile d’obtenir ces informations. Les téléphones modernes, au travers des désormais fameuses « fadettes », et notamment ces « smartphones » et tablettes dont le développement ne cesse de s’accélérer, introduisent dans ce paysage une dimension complémentaire, dont nous pouvons nous demander s’ils ne détruisent pas une partie de notre espace de liberté numérique et physique.

Sous couvert « d’amélioration du service » et de « fourniture de services de proximité », de nombreuses applications embarquées sur ces plates-formes utilisent les différents services de positionnement radio disponibles. En complément du GPS, ces téléphones portables utilisent deux mécanismes complémentaires de géolocalisation, la radio téléphonique (3G) et le WiFi. Dans les deux cas, l’identification des cellules GSM/3G ou des BSSID WiFi vues par le téléphone permet d’identifier une position approximative de celui-ci, à partir de la connaissance des coordonnées de ces antennes fournie par une base externe. Ces bases de données sont collectées par exemple par les « Google Cars » lors de l’acquisition des informations cartographiques utilisées par les applications « Earth » et « StreetView ». La collecte des photographies et informations de positionnement GPS inclut les BSSID des réseaux WiFi à proximité (ainsi que les trames radio collectées[1]). La position GPS des antennes GSM/3G est également une information publique.

Alain Pannetrat a présenté dans le magazine MISC 59 (janvier 2012) une analyse des données de géolocalisation sur iphone[2]. Nous avons travaillé sur la reproduction de ses résultats pour les confirmer, puis sur leur extension aux plates-formes Android. Nous avons pour cela suivi une méthodologie identique, consistant à intercepter les communications sécurisées entre téléphone et serveurs et à analyser les données collectées.

Les faits

Sur iPhone, nous n’avons pas observé d’échanges liés à la géolocalisation GPS ou GSM ; nos observations se limitent aux informations liées à la reconnaissance des BSSID des bornes WiFi. Lorsqu’une demande de localisation est effectuée sur l’iPhone, plusieurs échanges chiffrés en SSL se déroulent entre le téléphone et un serveur d’Apple. Le téléphone envoie l’identité de la borne wifi (le BSSID) auquel il est connecté. Le serveur d’Apple répond avec l’identifiant d’au plus 200 BSSID situés à proximité. Le téléphone peut donc, par recoupement des BSSID visibles, calculer une position plus précise que celle de la BSSID connue. Apple connait, dans le rayon de portée d’un réseau wifi (moins de 100m), la position du téléphone. De plus, un iPhone dont l’utilisateur a activé la géolocalisation envoie régulièrement (une fois par jour) aux serveurs d’Apple la liste des BSSID et des identifiants des antennes GSM rencontrés durant la journée. Cela permet de reconstituer des lieux de présence, voire des trajets.

Sur Android, le téléphone envoie régulièrement le numéro IMEI (identifiant unique du téléphone) ainsi que l’identité des BSSID ou des antennes GSM audibles depuis le téléphone. Cette transmission se fait à intervalles fréquents (1h, ou sortie de veille). Ces informations sont associées à une date et heure, et peuvent contenir des informations liées aux comptes Google du possesseur du téléphone. Là encore, les informations transmises permettent facilement aux serveurs de la plate-forme Android de reconstituer zones de présence et trajets.

Nous pouvons donc affirmer que les téléphones, et vraisemblablement les tablettes, collectent des données de géolocalisation. Ces données sont transférées sous le contrôle de l’hébergeur (Apple ou Google), après acceptation par l’utilisateur d’une licence d’utilisation floue. Aucune information n’est fournie par l’hébergeur quand à l’usage et la durée de collecte de ces informations. Ces informations sont également collectées par des applications, ce fait étant clairement illustré lors de l’installation d’applications sur Android par la liste des privilèges demandés par chaque application.

Les propositions

Suite à ces constatations, nous pouvons formuler les recommandations suivantes :

• En ce qui concerne les fournisseurs de la plate forme (Apple et Google), Il est nécessaire de mieux contrôler l’accès des applications aux informations, notamment de géolocalisation, mais pas seulement. A l’heure actuelle, l’iphone permet certains contrôles sur l’accès des applications aux informations de géolocalisation, mais l’utilisateur doit aller lui-même vérifier le paramétrage de ces applications. Android en version « usine » ne permet pas ces contrôles. Plus généralement, la centralisation et la clarification des options de configuration touchant les données personnelles est indispensable sur ces deux plates-formes.
• Il est également nécessaire de mieux expliquer les traitements et le stockage effectués à distance, de privilégier les traitements locaux des données personnelles, et de mieux séparer les différents types d’information afin d’éviter le croisement publicitaire (identités des comptes en ligne, du téléphone, localisation, etc.). Il semble également impératif de permettre nativement aux utilisateurs d’Android de gérer les droits, en complément des avertissements existants, et de rendre ceux-ci plus compréhensibles. La notion « d’accès au réseau » notamment est beaucoup trop vague.
• En ce qui concerne les utilisateurs, l’aspect « macroscopique » des informations actuellement fournies est surprenant. Nous leur conseillons la plus grande prudence quand à l’installation d’applications tierces sur leurs mobiles, en particulier des applications gratuites. Cela devrait encourager les développeurs d’application à être moins gourmands en termes de privilèges demandés, quitte à demander rémunération. Malheureusement, les anti-virus actuels sur ces plates-formes ne permettent pas de gérer ces accès aux données de localisation et aux données personnelles.

En conclusion, nous constatons que sur les deux plates-formes mobiles principales, la collecte d’informations de géolocalisation est fréquente et est conservée hors du contrôle de l’utilisateur. Elle est également très peu documentée ; en particulier nous ne connaissons pas l’usage fait de ces données ni la durée de conservation. En conséquence, nous sommes inquiets du développement de cette technologie, qui semble plus utile à des fins commerciales privées.