Une ONG a découvert que des données étaient envoyées à Facebook par des applications Android, même lorsque leur utilisateur ne disposait pas de compte sur le réseau social. / QUENTIN HUGON / LE MONDE

De nombreuses applications pour Android partagent avec Facebook des informations sur leurs utilisateurs, y compris sans le consentement de ces derniers et même lorsqu’ils ne disposent pas de compte sur le réseau social.

Deux chercheurs de l’ONG Privacy International, Frederike Kaltheuner et Christopher Weatherhead, ont ainsi analysé 34 applications pour smartphones Android de toutes sortes et très populaires – installées entre 10 et 500 millions de fois chacune.

Ils ont découvert que plus de la moitié d’entre elles transmettaient des informations au réseau social dès l’ouverture du programme, sans aucune intervention de l’usager. « Il est crucial de se rappeler que cela arrive que vous soyez ou non un utilisateur de Facebook » a martelé M. Weatherhead sur la scène du Chaos Communication Congress, la grand-messe des hackers qui se tient jusqu’au 30 décembre à Leipzig (Allemagne), où les deux experts présentaient leurs travaux.

Des informations techniques mais parlantes

Ces informations sont davantage techniques que personnelles au sens propre (nom du programme qui vient d’être lancé, modèle et nom du téléphone, la langue sélectionnée…). Elles peuvent cependant permettre à Facebook de savoir quelles applications sont installées et ouvertes.

L’ONG donne l’exemple d’un utilisateur qui aurait téléchargé Indeed (entreprise spécialisée dans la recherche d’emploi), Qibla Connect (prières musulmanes) et Period Tracker Clue (suivi des règles). Toutes ces applications envoient des données à Facebook, et il est possible, par leur seule présence sur un téléphone et selon Privacy International, de déterminer que l’usager est une femme musulmane à la recherche d’un emploi. Or, les informations relatives à la religion sont particulièrement protégées par le droit européen sur les données personnelles.

Par ailleurs, écrit l’ONG, « les applications qui transmettent automatiquement des données à Facebook les accompagnent de l’identifiant publicitaire de Google », une suite de caractère assignée de manière unique à tout usager d’un téléphone Android. Cet identifiant permet ensuite aux « publicitaires de lier les données issues d’applications différentes et de navigation Web dans un seul et unique profil ».

En outre, « certaines applications envoient à Facebook des données incroyablement détaillées » a expliqué M. Weatherhead. Et ce toujours indépendamment de la possession – ou non – par l’utilisateur d’un compte Facebook. C’est le cas, écrit l’ONG, de l’application de voyage Kayak qui envoie au réseau social toutes les recherches faites par l’usager à l’intérieur de ce programme et le détail de ses voyages.

Les chercheurs ont techniquement prouvé que ces données étaient envoyées à Facebook. Mais ils le reconnaissent eux-mêmes : « Sans davantage de transparence de la part de Facebook, il est impossible de savoir comment les données que nous décrivons sont utilisées. »

Comment cela est-il possible ? Les applications pour téléphones mobiles comportent très fréquemment des portions de code d’entreprises tierces, invisibles pour l’utilisateur final. Il peut s’agir, par exemple, d’un moyen de compter les visiteurs d’une application. Facebook permet aux développeurs d’insérer des portions de son code afin qu’ils puissent faire profiter à leurs usagers de certaines fonctionnalités issues de Facebook. Selon Privacy International, cela leur permet donc également de récupérer des informations.

La question de la responsabilité est « complexe »

Qui est responsable, légalement, de cette collecte ? Frederike Kaltheuner reconnaît que la question est « complexe ». Le règlement sur la protection des données (RGPD), la loi européenne, impose, dans la plupart des cas, de recueillir le consentement de la personne pour récolter ses données. Un principe qui ne semble pas toujours respecté, notamment lorsque des données sont envoyées dès le lancement de l’application et sans action de la part de l’utilisateur. Pour Facebook, ce sont les développeurs des applications qui sont responsables des données qu’ils lui envoient.

Le réseau social a introduit un outil pour permettre aux développeurs de n’envoyer aucune donnée avant d’avoir obtenu le consentement de leurs utilisateurs. Mais selon Privacy International, cet outil a été introduit après l’entrée en vigueur du RGPD et fonctionne de manière imparfaite. Facebook offre aussi la possibilité à des personnes non inscrites sur sa plate-forme de limiter la collecte de données : Privacy International affirme les avoir testées, sans que cela n’ait, écrit-elle, « d’impact visible sur la quantité de données partagées ».

Cette découverte relance en tout cas la lancinante question des « shadow profiles », ces informations que Facebook collecte sur les internautes ou mobinautes ne disposant pas de profil sur le réseau social. Ce sujet avait fait l’objet d’une attention toute particulière lors de l’audition de son patron Mark Zuckerberg au Congrès américain.

Facebook n’est bien entendu pas la seule entreprise à collecter des informations de la sorte. « Il y a des milliers d’entreprises qui font la même chose » a pointé Mme Kaltheuner.

Nos articles en direct du Chaos Communication Congress

Le Chaos Communication Congress est la grand-messe des hackers, qui se tient tous les ans en Allemagne. Au fil des conférences et des ateliers, on y réfléchit à l’impact de la technologie sur la société. Voici les articles de nos envoyés spéciaux :

Un chercheur a démontré que l’élection présidentielle américaine de 2020 est vulnérable à un piratage informatique.

A quoi va ressembler le système chinois de notation de ses citoyens ? Difficile à dire, mais les premières ébauches sont inquiétantes.

Une feuille imprimée et de la cire d’abeille : c’est ce qu’il faut pour duper certains systèmes d’identification biométrique.