Google comble une lacune qui a permis à des milliers d’entreprises de surveiller et de vendre des données personnelles sensibles à partir de smartphones Android, un effort salué par les militants de la protection de la vie privée à la suite de la décision de la Cour suprême des États-Unis de mettre fin au droit constitutionnel des femmes à l’avortement.
La décision de la société de la Silicon Valley intervient au milieu des craintes croissantes que les applications mobiles soient militarisées par les États américains pour contrôler les nouvelles restrictions à l’avortement dans le pays.
Les entreprises ont déjà récolté et vendu les informations sur le marché libre, y compris des listes d’utilisateurs d’Android utilisant des applications liées au suivi des règles, à la grossesse et à la planification familiale, telles que Planned Parenthood Direct.
Au cours de la semaine dernière, des chercheurs et des défenseurs de la vie privée ont appelé les femmes à supprimer les applications de suivi des règles de leurs téléphones pour éviter d’être suivies ou pénalisées pour avoir envisagé des avortements.
Le géant américain de la technologie a annoncé en mars dernier qu’il restreindrait la fonctionnalité, qui permet aux développeurs de voir quelles autres applications sont installées et supprimées sur les téléphones des individus. Ce changement devait être mis en œuvre l’été dernier, mais la société n’a pas respecté ce délai, citant la pandémie entre autres raisons.
La nouvelle date limite du 12 juillet arrivera quelques semaines seulement après l’annulation de Roe vs Wade, une décision qui a mis en lumière la manière dont les applications pour smartphones pourraient être utilisées pour la surveillance par les États américains avec de nouvelles lois anti-avortement.
« C’est attendu depuis longtemps. Les courtiers en données ont été interdits d’utiliser les données selon les conditions de Google pendant longtemps, mais Google n’a pas intégré de protections dans le processus d’approbation des applications pour détecter ce comportement. Ils l’ont simplement ignoré », a déclaré Zach Edwards, un chercheur indépendant en cybersécurité qui enquête sur la faille depuis 2020.
« Alors maintenant, n’importe qui avec une carte de crédit peut acheter ces données en ligne », a-t-il ajouté.
Google a déclaré : « En mars 2021, nous avons annoncé que nous prévoyions de restreindre l’accès à cette autorisation, afin que seules les applications utilitaires, telles que la recherche d’appareils, l’antivirus et les applications de gestion de fichiers, puissent voir quelles autres applications sont installées sur un téléphone ».
Il a ajouté: « La collecte de données d’inventaire d’applications pour les vendre ou les partager à des fins d’analyse ou de monétisation des annonces n’a jamais été autorisée sur Google Play. »
Malgré l’utilisation généralisée par les développeurs d’applications, les utilisateurs ne connaissent toujours pas cette fonctionnalité du logiciel Android – une interface de programmation conçue par Google, ou API, connue sous le nom de « Query All Packages ». Il permet aux applications, ou aux extraits de code tiers qu’elles contiennent, d’interroger l’inventaire de toutes les autres applications sur le téléphone d’une personne. Google lui-même a qualifié ce type de données de données à haut risque et « sensibles », et il a été découvert qu’elles étaient revendues à des tiers.
Des chercheurs avoir trouvé que les inventaires d’applications « peuvent être utilisés pour déduire avec précision les intérêts et les traits personnels des utilisateurs finaux », y compris le sexe, la race et l’état matrimonial, entre autres.
Edwards a découvert qu’un marché de données, Narrative.io, vendait ouvertement des données obtenues par des intermédiaires de cette manière, y compris des smartphones utilisant Planned Parenthood et diverses applications de suivi des règles.
Narrative a déclaré avoir supprimé les données de l’application de suivi de la grossesse et de la menstruation de sa plate-forme en mai, en réponse au projet divulgué décrivant la décision à venir de la Cour suprême.
Une autre société de recherche, Pixalate, a découvert que des applications grand public, comme une simple application météo, exécutaient des morceaux de code qui exploitaient la même fonctionnalité Android et récoltaient des données pour une société panaméenne ayant des liens avec des sous-traitants de la défense américaine.
Google a déclaré qu’il « ne vend jamais de données utilisateur, et Google Play interdit strictement la vente de données utilisateur par les développeurs. Lorsque nous découvrons des violations, nous prenons des mesures », ajoutant qu’il avait sanctionné plusieurs entreprises soupçonnées de vendre des données d’utilisateurs.
Google a déclaré qu’il restreindrait la fonctionnalité Interroger tous les packages uniquement à ceux qui en ont besoin à partir du 12 juillet. Les développeurs d’applications devront remplir une déclaration expliquant pourquoi ils ont besoin d’un accès et en informer Google avant la date limite afin qu’elle puisse être vérifiée.
« Les utilisations trompeuses et non déclarées de ces autorisations peuvent entraîner la suspension de votre application et/ou la résiliation de votre compte de développeur », a averti la société.