Certains développeurs d’applications iOS semblent publier des étiquettes de confidentialité d’application trompeuses dans l’App Store

Le mois dernier, Apple a lancé ses étiquettes de confidentialité pour les applications. Chaque fois qu’un développeur d’application iOS mettait à jour l’une de ses applications, il devait inclure l’étiquette de confidentialité de l’application lorsqu’elle était répertoriée après la mise à jour dans la boutique d’applications iOS d’Apple. Cette étiquette, qui se trouve sous l’option dans l’App Store pour télécharger et installer une application, indique le type de données que l’application collecte et qui peuvent être liées à l’identité d’un utilisateur iOS.

Certains développeurs d’applications de l’App Store ont fourni à Apple des étiquettes d’application de confidentialité trompeuses

Par exemple, nous avons sélectionné au hasard une application d’actualités dans l’App Store appelée Brief Monthly et son étiquette de confidentialité a montré qu’elle collectait des données utilisateur liées aux achats, les informations de contact, l’ID de l’appareil utilisé et toutes les données collectées lorsque l’application se bloque. Il collecte également des données d’utilisation, mais ces informations ne peuvent pas être liées à l’utilisateur.

Il y a un problème majeur en ce qui concerne les étiquettes de confidentialité des applications et comme le souligne le Washington Post, cela a à voir avec le recours d’Apple au système de l’honneur. Sur l’étiquette, il est clairement indiqué que «ces informations n’ont pas été vérifiées par Apple». La porte-parole d’Apple, Katie Clark-AlSadder, a envoyé un e-mail au Post dans lequel elle a écrit: « Apple mène des audits de routine et continus des informations fournies et nous travaillons avec les développeurs pour corriger toute inexactitude. Les applications qui ne divulguent pas correctement les informations de confidentialité peuvent avoir une application future mises à jour rejetées ou, dans certains cas, supprimées entièrement de l’App Store si elles ne sont pas conformes. « 
Mais un contrôle ponctuel effectué par le journal a examiné de plus près ces applications iOS avec une coche bleue sur son étiquette de confidentialité. Ces applications affirment ne collecter aucune donnée utilisateur. The Post a utilisé un moteur de recherche pour trouver ces applications iOS à cocher bleu et un logiciel appelé Privacy Pro qui peut enregistrer et bloquer les connexions aux trackers. Après avoir utilisé le logiciel pour vérifier ces applications, une analyse plus approfondie a été menée par Patrick Jackson, le directeur de la technologie du développeur qui propose Privacy Pro. Jackson était à un moment donné un chercheur à la National Security Agency.

Cette analyse a révélé plusieurs applications iOS qui partageaient des informations permettant d’identifier l’iPhone d’un utilisateur avec Facebook, Google et Game Analytics. Ces applications envoyaient également à Unity, une société qui fournit aux fabricants de jeux des logiciels, des informations telles que l’identifiant de l’iPhone utilisé, le niveau de la batterie du téléphone, la quantité de stockage disponible disponible, l’emplacement général du téléphone et le niveau de volume. Certaines des applications contrefaites comprenaient:

  • Simulateur de slime satisfaisant
  • Gronder
  • Cartes.Moi
  • FunDo Pro

Dans certains cas, l’étiquette de l’application a finalement été modifiée pour refléter ce que la publication a découvert, mais dans la plupart des cas, aucune modification n’a été apportée. Par exemple, un jeu joué par la famille du journaliste du Washington Post appelé « Match 3D » prétendait collecter uniquement des données non liées à l’utilisateur. Mais il s’est avéré que l’application envoyait un numéro d’identification pour l’iPhone du journaliste à plus d’une douzaine d’entreprises. Bien que la publication n’ait jamais reçu de réponse du développeur, l’étiquette de confidentialité a été modifiée pour indiquer que l’application recueille des «données utilisées pour vous suivre».

L’analyse du Post l’amène à conclure qu’un tiers des applications qui prétendent ne pas collecter de données auprès des utilisateurs le faisaient effectivement. Et lorsque le journal a envoyé à Apple une liste d’applications qui semblaient mentir sur leurs étiquettes de confidentialité, Apple n’a pas répondu.

Apple restreint également la définition du suivi à «la publicité ciblée, la mesure des annonces et les courtiers en données». Selon le PDG de Disconnect, Casey Oppenheim, la définition d’Apple «laisse la porte ouverte à de nombreux comportements qui répondent à toute définition raisonnable du suivi».

A lire également