La surveillance invisible : tout le monde sait quelles applications vous utilisez sur votre smartphone

Les applications installées sur nos smartphones sont devenues des outils essentiels dans notre vie quotidienne, facilitant une multitude de tâches, de la communication à la gestion de nos finances. Cependant, la prolifération de ces applications soulève des questions cruciales concernant la confidentialité et la sécurité de nos données personnelles. Un aspect souvent négligé est la capacité de certaines applications à accéder à la liste complète des autres applications installées sur notre appareil. Cette pratique, bien que réduite ces dernières années, demeure préoccupante.

Jusqu'à il y a quelques années, sur les appareils Android, toute application installée pouvait accéder sans restriction à la liste des autres applications présentes sur le téléphone, et ce, sans le consentement explicite de l'utilisateur. Cette fonctionnalité permettait aux applications de recueillir des informations sur les habitudes d'utilisation, les préférences et potentiellement d'autres données sensibles des utilisateurs. Cette pratique a suscité des inquiétudes quant à la confidentialité et à la sécurité des données personnelles.

Évolution des politiques de confidentialité et renforcement des contrôles

Face à ces préoccupations croissantes, les géants de la technologie ont progressivement renforcé les contrôles d'accès aux données sensibles. Des mises à jour successives des systèmes d'exploitation ont limité la capacité des applications à accéder librement à la liste des applications installées. Ces changements visent à protéger la vie privée des utilisateurs et à réduire les risques liés à la collecte non autorisée de données.

Depuis 2022, avec Android 11, Google a supprimé cet accès aux développeurs d'applications. Dans le cadre de la nouvelle politique de visibilité des paquets, les applications ne doivent voir les autres applications installées que si elles sont essentielles à leur fonctionnalité de base. Les développeurs doivent également déclarer explicitement ces applications dans le fichier AndroidManifest.xml, un fichier de configuration obligatoire pour toutes les applications Android.

Pour des cas d'utilisation extrêmement spécifiques tels que les gestionnaires de fichiers, les navigateurs ou les applications antivirus, Google accorde une exception en autorisant QUERY_ALL_PACKAGES, ce qui permet d'avoir une visibilité totale sur les applications installées.

Malgré ces mesures, qu'en est-il réellement ?

Dans un billet, Pea Bee s'est laissé aller à une étude locale de la situation en Inde. Ci-dessous, un extrait de son billet :

Je n'utilise pas Android comme téléphone principal, mais j'en ai un de rechange et j'étais vraiment curieux de savoir quelles applications d'entreprises indiennes avaient vérifié les autres applications que j'avais installées.

J'ai donc téléchargé quelques douzaines d'applications indiennes qui me venaient à l'esprit et j'ai commencé à lire leurs fichiers manifestes. Je suis sûr qu'elles respecteront ma vie privée et qu'elles n'interrogeront que les applications essentielles à leur fonctionnalité de base. 🙃

Il convient de reconnaître qu'il existe des raisons légitimes pour qu'une application vérifie quelles autres applications sont installées sur votre téléphone. Par exemple, une application peut vérifier quelles applications UPI sont installées afin d'afficher des options de paiement pertinentes. La plupart des fichiers manifestes que j'ai examinés contenaient des vérifications concernant ces applications. Certains recherchaient également des applications de clonage ou des applications multi-comptes, probablement à des fins de sécurité et de détection des fraudes. Tous ces cas d'utilisation sont acceptables.

Mais quelques entreprises indiennes sont allées plus loin dans ces vérifications.

Swiggy

Commençons par Swiggy. Son fichier manifeste contient 154 noms de paquets, ce qui lui permet d'interroger les applications présentes sur mon téléphone.


Je ne sais même pas par où commencer pour décortiquer cette folie. En quoi le fait de savoir si j'ai installé l'application Xbox ou Playstation sur mon téléphone est-il essentiel à la fonctionnalité de base de Swiggy ? En quoi le fait de savoir si j'ai l'application Naukri ou Upstox les aidera-t-il à livrer des courses à ma porte ?

Le large éventail de catégories d'applications dans cette liste suggère fortement que Swiggy recueille des données sur les applications installées à des fins de profilage des utilisateurs et de construction d'un profil comportemental de leurs clients. Cela semble aller à l'encontre des politiques du Play Store qui considère la liste des applications installées comme des données...