Sept chercheurs en sciences de l’informatique d’universités américaines et canadiennes accusent des milliers d’applications Android destinées aux enfants de ne pas suffisamment protéger les données de ces derniers. Ces chercheurs, issus entre autres de Berkeley, expliquent dans une étude publiée à la mi-avril que des informations personnelles sont partagées à des entreprises tierces, sans toujours respecter les limites fixées par la loi.
Les chercheurs ont étudié au total 5 855 applications gratuites disponibles sur la version américaine du magasin Google Play. Ils ont développé un programme leur permettant de voir en temps réel quelles informations sensibles elles collectaient, et avec qui ces données étaient partagées.
Résultat : environ 57 % des applications « violent potentiellement la Coppa [Children’s Online Privacy Protection Act] », la loi de protection de la vie privée des mineurs de moins de 13 ans en vigueur aux Etats-Unis. Certaines ont été téléchargées des centaines de millions de fois.
Des « consignes » pas toujours respectées
« Nous avons identifié plusieurs violations et tendances inquiétantes », détaille le rapport. Ainsi 4,8 % des applications analysées partagent la géolocalisation ou les coordonnées (adresses e-mail, numéros de téléphone) de leurs utilisateurs sans leur consentement ou celui de leurs parents. Quarante pour cent partagent des données personnelles sans prendre, selon les auteurs de l’étude, de mesures de sécurité suffisantes : elles sont par exemple 2 344 à ne pas avoir utilisé une seule fois le protocole de sécurisation « standard » (TLS) dans le cadre de l’envoi de données.
Enfin, 18,8 % partagent les identifiants permanents – comme l’adresse IMEI, un numéro unique attribué à chaque téléphone – des utilisateurs avec des entreprises tierces, notamment à des fins de ciblage publicitaire. Ces méthodes sont proscrites par la Coppa dès lors qu’il s’agit des données d’enfants de moins de 13 ans. Pourtant, toutes les applications étudiées faisaient partie, explique le coauteur de l’étude Serge Egelman, du programme « Designed for Families » (« pour la famille »). Un label Google Play qui rassemble des applications « destinées en priorité aux enfants » de moins de 13 ans, détaille Google dans un post de blog. Introduit par l’entreprise en 2015, il garantit en théorie que les développeurs des applications respectent des « consignes et des règles spécifiques ».
Ils doivent notamment être en conformité avec la loi Coppa, et n’utiliser que des outils de développement logiciel (qui permettent de faciliter la création d’un programme comme une application) eux aussi en conformité avec la loi Coppa. De nombreux développeurs n’ont pas pris suffisamment de précautions à ce sujet, selon les chercheurs. Ainsi, plus de 1 000 applications ont utilisé des outils de tracking (« traçage») dont les conditions d’utilisation spécifiaient clairement qu’ils ne devaient pas être utilisés pour des programmes destinés aux enfants.
Minions
Parmi les applications citées par les chercheurs, on trouve des logiciels d’apprentissage des langues, comme Duolingo, l’accordeur de guitare GuitarTuna, mais aussi des jeux. Certaines sont particulièrement populaires, à l’image du jeu Where’s My Water (« jetez-vous à l’eau ! » pour la version française) produit par Disney et téléchargé plus de 100 millions de fois, ou de Minion Rush, inspiré du film Moi, moche et méchant et téléchargé 500 millions de fois selon l’éditeur.
Dans un communiqué transmis au Washington Post, Google a expliqué prendre le rapport « très au sérieux ». L’entreprise a assuré qu’elle en étudierait les résultats, avant d’ajouter : « Si nous observons qu’une application a enfreint nos règles, nous prendrons des mesures. » Disney, de son côté, a fait savoir au journal que « la protection de la vie privée en ligne des enfants [était] très importante pour [elle] », et qu’elle était « confiante » quant au fait que ses développeurs aient bien respecté la loi. Son application Where’s My Water est accusée d’avoir servi à collecter des données de localisation puis à les avoir transmis à une entreprise tierce sans le consentement explicite des parents des jeunes utilisateurs.
« La vie privée des enfants est de la plus haute importance pour Gameloft, a précisé l’entreprise dans un communiqué transmis au Monde. Et nous examinons de très près ce sujet. Nous avons une politique de collecte de données très stricte chez Gameloft, et nous nous assurons de toujours être en conformité avec les lois sur la protection des données. »