Categories
Explication How-To Tutoriel

Exodus Privacy, pistez les pisteurs

Vous vous posez peut-être régulièrement cette question : “et si mon téléphone me pistait ?” ou encore “Comment est-ce que cette publicité sait-elle que ce produit m’intéresse ?“. Ces questions ne sont pas nouvelles, loin de la, et ont une base rationnelle : la vie privée est la grande absente sur nos téléphones mobiles et les publicités comportementales y sont monnaie courante.

Et s’il était possible de savoir précisément quelles applications vous pistent et par quels moyens ? C’est précisément la mission de l’association française Exodus Privacy.

Présentation :

Exodus Privacy est une association française de type “loi 1901” , fondée en 2017 par quelques hacktivistes fédérés autour du souhait de savoir quelles applications vous pistent et comment.
C’est à la suite d’un article sur le pisteur “Teemo” paru sur Numerama en août 2017 qu’Esther, une utilisatrice du réseau social décentralisé Mastodon, publie une commande pour retrouver dans les applications Android la trace du pisteur “Teemo”.

D’autres personnes lui font part de leur intérêt sur ce sujet et un groupe se fédère afin de trouver les traces du pisteur “Teemo” dans les applications Android.

Le 21 octobre 2017 l’association “loi 1901” est fondée et le 24 novembre de la même année l’association rend publique sa plateforme d’analyse des applications Android “Exodus” dont les premiers résultats sont publiés par des journaux tels que Le Monde ou The Intercept.

L’association a également un partenariat avec l’université de Yale au travers du “Yale Privacy Lab”.

Depuis 2018 l’association publie des vidéos pédagogiques sur sa chaîne YouTube mais aussi sur Peertube.

Utiliser Exodus Privacy :

Il y a plusieurs façons d’utiliser Exodus Privacy. Vous pouvez consulter le site internet de l’association pour y rechercher une application particulière et voir quels pisteurs y sont éventuellement inclus, ses permissions mais vous pouvez également installer l’application et analyser les apps installées sur votre téléphone afin de voir précisément qui vous piste et comment.

Il faut également tenir compte que tous les pisteurs ne se valent pas et que certains d’entre eux peuvent être présents avant tout pour des questions techniques plutôt que pour des raisons de pistage commercial, mais la plateforme Exodus Privacy vous donnera un bon indice du niveau de respect de votre privée. En effet, une application qui contient une trentaine de pisteurs laisse peu de place pour le respect de la vie privée de ses utilisateurs.

Si vous souhaitez analyser les applications présentes sur votre périphérique Android je vous recommande d’installer la version d’Exodus Privacy qui provient du magasin d’application libres F-Droid. Au préalable, je vous conseille de lire mon article sur le sujet:

Une fois F-droid installée vous trouverez Exodus Privacy via l’option recherche mais vous pouvez également installer uniquement l’application en suivant ce lien ou en scannant ce QR-code :

Lien vers Exodus Privacy sur F-Droid

Notez qu’Exodus est également disponible sur le Play Store Google, suivez ce lien ou scanner ce QR-Code :

Lien vers Exodus Privacy sur Playstore

Usage :

Une fois installée l’application liste vos apps installées et pour chacune d’entre elles ses pisteurs et ses autorisations. Les autorisations sur Android permettent des actions bien précises aux applications, plus une application requiert des autorisations sans lien réel avec sa fonctionnalité plus il faut se poser des questions. Par exemple, un simple jeu qui a besoin d’accéder à vos contacts, vos messages, votre localisation, c’est louche.

L’interface est épurée et très claire :

Vue globale d’Exodus

Lorsque vous cliquez sur une application vous en voyez les détails :

Vue détaillée

Conclusion :

Exodus Privacy est une excellente initiative qui peut vous aider à mieux choisir vos applications, à les remplacer par des alternatives plus respectueuses de votre vie privée quand c’est possible.

Lorsque vous constatez que votre application favorite est remplie de pisteurs il est parfois intéressant de contacter son développeur; un développeur a supprimé la moitié des pisteurs présents dans son application après que je l’ai notifié des résultats obtenus via Exodus Privacy.

Si des initiatives telles qu’Exodus Privacy peuvent faire prendre conscience des enjeux liés au pistage aux développeurs comme aux utilisateurs, tout le monde y sera gagnant et un jour peut-être que la tendance actuelle qui consiste à tout pister s’infléchira, on peut rêver non ?

Sources :

Derniers Articles :

Categories
Explication News Opinion

Chrome ID, un tracker de plus dans Google Chrome ?

Depuis très longtemps l’industrie publicitaire a redoublé d’efforts pour pister les internautes quand ils visitent des pages web.

Le but est d’établir des profils précis afin d’afficher des publicités personnalisées sur base des informations que ces sociétés soutirent de vos visites.

Ce pistage généralisé a débuté avec les cookies mais les problématiques liées à la vie privée, les publicités abusives, présentes sur chaque page web quasiment ont forcé de nombreux internautes à les bloquer au travers de modules complémentaires tels que ublock Origin ou encore Privacy Badger rendant ce pistage de moins en moins efficace.

Les régies publicitaires ont alors développé les techniques d’empreintes uniques dites “fingerprinting” visant à identifier votre navigateur de manière unique même si vous disposez d’un bloqueur de publicité et que vous bloquez les cookies.

Ce type de pistage consiste à vous identifier de manière unique en se basant sur la configuration de votre navigateur que vous le vouliez ou non il y a de grandes chances pour que votre “empreinte” soit unique et permette donc de vous pister quelque soit votre choix ou la configuration de votre navigateur.

De nouvelles techniques pour échapper à cette forme de pistage sont alors apparues sous la forme de modules complémentaires tels que Canvas Defender mais également parce que certains navigateurs (Mozilla Firefox & Safari) ont étés modifiés pour rendre inefficaces ces techniques.

C’était évidement sans compter sur l’avidité et le total mépris pour la vie privée des grands acteurs de la publicité en ligne tels qu’Alphabet la maison mère de Google ou bien encore Facebook :

Une nouvelle technique de pistage vient d’être découverte dans le code source de Google Chromium, une version open source de Google Chrome, elle serait en place depuis la version 54 du navigateur.

Cette technique de pistage se base sur la génération d’un identifiant unique lorsque vous installez Google Chrome : le Chrome ID.

Chaque logiciel Google Chrome installé chez un utilisateur génère donc un identifiant unique, une série de caractères qui ressemble à ceci :

X-client-data: CIS2yQEIprbJAZjBtskBCKmdygEI8J/KAQjLrsoBCL2wygEI97TKAQiVtcoBCO21ygEYq6TKARjWscoB

Vous pouvez voir votre google ID dans la section “Variations” en vous rendant sur chrome://version/ dans Google Chrome.

Lorsque l’utilisateur visite un site qui appartient ou inclus des fonctionnalités développées par Google, cet identifiant est renseigné.

Il faut bien comprendre ici que la quasi totalité des sites tiers emploie des fonctionnalités fournies par google, en voici une courte liste :

  • Google Recaptcha
  • Google Maps
  • Google Fonts
  • Google Analytics
  • Etc…

Concrètement vu l’hégémonie des services proposés par Google cela revient à vous pister sur la grande majorité des sites que vous visitez.

De plus si l’utilisateur se connecte à un compte Google cet identifiant unique est lié à son compte Google permettant alors un ciblage publicitaire des plus précis.

Le principal problème pour les utilisateurs de Google Chrome ou de ses dérivés est que cette technique de pistage ne pourra pas être bloquée, ni par un VPN ou un éventuel bloqueur de publicité.

Légalité

Il faut bien comprendre également que ce changement intervient pile au moment ou les cookies et le pistage publicitaire tel que nous le connaissons commencent à être réglementés par notamment le règlement général sur la protection des données au niveau européen.

Je considère que ce changement illustre parfaitement le soucis de sociétés telles que Google de se soustraire à la législation.

Différentes voix s’élèvent et dénoncent ce qui semble être un manquement manifeste au RGPD, car le Chrome ID semble être une donnée personnelle et sa collecte devrait être donc soumise a un consentement préalable tout comme une information claire pour l’utilisateur ce qui n’est bien évidement pas le cas :

Google donne des informations floues sur la destination de cet identifiant que ce soit dans sa documentation ou dans ses commentaires d’autres articles sur le sujet.

En réponse à cet article du site The Register voici ce qu’un porte-parole de Google a expliqué :

L’entête “X-Client-Data” est utilisé pour aider Chrome a tester de nouvelles fonctionnalités avant de les envoyer vers tous les utilisateurs.

L’information contenue dans cette entête reflète soit la variation, ou des test de fonctionnalités dans laquelle une installation de Chrome est inscrite. Cette information nous sert a mesurer des statistiques du coté serveur concernant des larges groupes d’installations; il n’est pas utilisé pour identifier des individus.

Je considère qu’il s’agit d’explications trompeuses sur la vraie nature de cet identifiant.

Conclusion

Comme l’a déjà expliqué le Washington Post dans cet article Google Chrome pose déjà de sérieux soucis de base concernant la vie privée.

Au niveau des alternatives il faut savoir que la quasi totalité des navigateurs disponibles reposent également sur Chromium, le code source sur lequel se base également Chrome.

Même le successeur d’Internet Explorer, Microsoft Edge repose sur Chromium.

Ici seul Mozilla Firefox me semble une alternative valable mais surtout respectueuse de votre privée.

Sources