Comment Google suit les utilisateurs d'appareils Android avant même qu'ils n'aient ouvert une application,

Une étude menée par Doug Leith révèle un suivi publicitaire actif dès le démarrage d'Android

Comment Google suit les utilisateurs d'appareils Android avant même qu'ils n'aient ouvert une application,
une étude menée par Doug Leith révèle un suivi publicitaire actif dès le démarrage d'Android

Une étude réalisée par un éminent universitaire révèle que les utilisateurs d'Android sont exposés à des cookies publicitaires et à divers mécanismes de profilage avant même d'ouvrir une application. Doug Leith, professeur et titulaire de la chaire de systèmes informatiques au Trinity College de Dublin, affirme dans son rapport qu'aucun consentement n'est requis pour l'activation de ces identifiants et qu'aucune option ne permet de les désactiver.

L'affaire des traceurs publicitaires et des identifiants imposés par Google sur les appareils Android suscite une vague d'indignation croissante. De nombreux utilisateurs dénoncent une violation flagrante du consentement et des droits à la vie privée. Loin d’être une simple question technique, cette problématique soulève des enjeux éthiques et légaux majeurs qui rappellent l’attitude récurrente des grandes entreprises technologiques face à la réglementation sur la protection des données.


Tout le monde a vu les bannières des sites web qui vous demandent si vous autorisez ou non les cookies sur votre navigateur. Mais qu'est-ce que cela signifie exactement et que sont ces cookies ? Tout d'abord, ils sont essentiels à l'expérience moderne de l'internet. Élément indispensable à la navigation sur le web, les cookies aident les développeurs de sites web à vous offrir une visite plus personnelle et plus pratique. En bref, les cookies permettent aux sites web de se souvenir de vous, de vos identifiants, de vos paniers d'achat et de bien d'autres choses encore. Mais ils peuvent aussi constituer un trésor d'informations privées et une grave menace pour votre vie privée.

Protéger sa vie privée en ligne peut s'avérer difficile. Heureusement, une connaissance élémentaire des cookies peut vous aider à éviter les regards indiscrets sur vos activités en ligne. Si la plupart des cookies sont parfaitement sûrs, certains peuvent être utilisés par des cybercriminels pour vous suivre à la trace sans votre consentement.

Qu'est-ce qu'un cookie ?

Les cookies (souvent connus sous le nom de « cookies internet ») sont des fichiers texte contenant de petits éléments de données - comme un nom d'utilisateur et un mot de passe - qui sont utilisés pour identifier votre ordinateur lorsque vous utilisez un réseau. Des cookies spécifiques sont utilisés pour identifier des utilisateurs particuliers et améliorer leur expérience de navigation sur le web. Les données stockées dans un cookie sont créées par le serveur lors de votre connexion.

Ces données sont étiquetées avec un identifiant unique pour vous et votre ordinateur. Lorsque le cookie est échangé entre votre ordinateur et le serveur du réseau, le serveur lit l'identifiant et sait quelles informations vous servir spécifiquement.

En raison de lois internationales, telles que le Règlement général sur la protection des données (RGPD) de l'UE, et de certaines lois d'État, telles que le California Consumer Privacy Act (CCPA), de nombreux sites web sont désormais tenus de demander l'autorisation d'utiliser certains cookies avec votre navigateur et de vous fournir des informations sur la manière dont leurs cookies seront utilisés si vous acceptez.

Cookies magiques et cookies HTTP

Tous les cookies fonctionnent généralement de la même manière, mais ils ont été appliqués à des cas d'utilisation différents :

Les cookies magiques sont un vieux terme informatique qui désigne des paquets d'informations envoyés et reçus sans modification des données. Il s'agit généralement d'une connexion à des systèmes de bases de données informatiques, comme le réseau interne d'une entreprise. Ce concept est antérieur au « cookie » moderne que nous utilisons aujourd'hui.

Les cookies HTTP sont une version réadaptée du « cookie magique » conçu pour la navigation Internet contemporaine. En 1994, Lou Montulli, programmeur de navigateurs web, s'est inspiré du « magic cookie » pour créer le cookie HTTP, alors qu'il aidait un magasin de vente en ligne à réparer ses serveurs surchargés. Le cookie HTTP est ce que nous appelons aujourd'hui plus généralement un cookie. C'est aussi ce que certains cybercriminels peuvent utiliser pour espionner votre activité en ligne et pirater vos informations personnelles.

Qu'est-ce qu'un cookie HTTP ?

Les cookies HTTP, ou cookies internet, sont conçus spécifiquement pour les navigateurs web afin de suivre, de personnaliser et d'enregistrer des informations sur la session de chaque utilisateur. Une « session » est le mot utilisé pour définir le temps que vous passez sur un site. Les cookies sont créés pour vous identifier lorsque vous visitez un nouveau site web. Le serveur web - qui stocke les données du site web - envoie un court flux d'informations d'identification à votre navigateur web sous la forme de cookies. Ces données d'identification (parfois appelées « cookies de navigateur ») sont traitées et lues par des paires « nom-valeur ». Ces paires indiquent aux cookies où ils doivent être envoyés et quelles données ils doivent rappeler.

Alors, où sont stockés les cookies ? C'est simple : votre navigateur web les stocke localement pour se souvenir de la « paire nom-valeur » qui vous identifie. Lorsque vous revenez sur le site web, votre navigateur renvoie les données du cookie au serveur du site web, ce qui déclenche le rappel des données de vos sessions précédentes.

Google collecte des données sur Android sans interaction utilisateur

Les recherches de Doug Leith ont mis en évidence plusieurs mécanismes intégrés au système Android qui transfèrent des données à Google via des applications préinstallées, comme Google Play Services et Google Play Store, sans que les utilisateurs n'interagissent avec une application Google. Parmi ces outils figure le cookie « DSID », que Google décrit comme servant à identifier un utilisateur connecté sur des sites non affiliés à Google afin d'appliquer ses préférences publicitaires personnalisées. Ce cookie a une durée de vie de deux semaines.

L'étude de Leith souligne que l'explication fournie par Google reste vague et insuffisamment détaillée. Le problème majeur réside dans l'absence de consentement préalable avant l'installation de ce cookie, ainsi que dans l'impossibilité pour l'utilisateur de s’y opposer. Leith explique que le cookie DSID est généré peu après la connexion de l'utilisateur à son compte Google, une étape incontournable lors du démarrage d'un appareil Android. Un fichier de suivi associé est alors stocké dans les données de l'application Google Play Services.

Selon Leith, ce cookie constitue très probablement le principal moyen utilisé par Google pour relier des événements publicitaires et analytiques, comme les clics sur les annonces, à des utilisateurs spécifiques. Un autre traceur, impossible à supprimer une fois activé, est le Google Android ID, un identifiant unique lié au compte Google de l'utilisateur, créé dès la première connexion à l'appareil via Google Play Services.

La méfiance grandit face aux nouvelles fonctionnalités d’Android

Les réactions aux révélations de l’étude menée par Doug Leith mettent en évidence plusieurs tendances. Tout d'abord, une certaine lassitude et un fatalisme émergent chez certains observateurs, qui considèrent que le suivi des utilisateurs est une évidence dans l’écosystème numérique actuel. D’autres adoptent une posture critique plus acerbe, arguant que ces pratiques sont délibérément mises en œuvre par Google et d’autres géants du numérique pour maximiser leur contrôle sur les utilisateurs et leurs données, au mépris des exigences légales en matière de consentement.

La récurrence de l’argument « si vous n’avez rien à cacher, vous n’avez rien à craindre » est vivement contestée par ceux qui estiment que la protection de la vie privée n’est pas une question de culpabilité, mais un droit fondamental. Cette posture est renforcée par des exemples concrets de l’impact de la collecte de données sur des aspects critiques de la vie quotidienne, comme l'accès aux assurances, aux crédits bancaires ou encore à l’emploi.

D’un point de vue pratique, des discussions s’engagent autour des moyens de contourner cette collecte intrusive de données, notamment via l’utilisation de systèmes alternatifs comme LineageOS. Toutefois, ces solutions ne sont pas accessibles à tous, en particulier à cause des contraintes imposées par certaines applications bancaires et autres services nécessitant un accès aux outils Google.

Enfin, l’introduction de nouvelles fonctionnalités comme Android System SafetyCore renforce la méfiance des utilisateurs. Bien que présentée comme un outil de protection, son déploiement sans consentement rappelle les pratiques critiquées par l’étude de Leith. L’absence d’options de désactivation dans certains cas et le retour forcé de l’application après mise à jour accentuent l’impression d’un écosystème où l’utilisateur a de moins en moins de contrôle sur son propre appareil.

L'application Android System SafetyCore

Le mois dernier, de nombreux utilisateurs ont signalé qu’Android System SafetyCore était apparue soudainement sur leurs appareils sans aucun avertissement préalable. Android System SafetyCore est une application système de Google qui a été installée ou mise à jour sur les smartphones de nombreux utilisateurs sans leur consentement préalable. Elle n'apparaît pas dans le menu normal des applications et, selon Google, elle analyse localement des photos ou des images pour détecter certains contenus (par exemple, des images de...