La surveillance invisible : tout le monde sait quelles applications vous utilisez sur votre smartphone

Les applications installées sur nos smartphones sont devenues des outils essentiels dans notre vie quotidienne, facilitant une multitude de tâches, de la communication à la gestion de nos finances. Cependant, la prolifération de ces applications soulève des questions cruciales concernant la confidentialité et la sécurité de nos données personnelles. Un aspect souvent négligé est la capacité de certaines applications à accéder à la liste complète des autres applications installées sur notre appareil. Cette pratique, bien que réduite ces dernières années, demeure préoccupante.

Jusqu'à il y a quelques années, sur les appareils Android, toute application installée pouvait accéder sans restriction à la liste des autres applications présentes sur le téléphone, et ce, sans le consentement explicite de l'utilisateur. Cette fonctionnalité permettait aux applications de recueillir des informations sur les habitudes d'utilisation, les préférences et potentiellement d'autres données sensibles des utilisateurs. Cette pratique a suscité des inquiétudes quant à la confidentialité et à la sécurité des données personnelles.

Évolution des politiques de confidentialité et renforcement des contrôles

Face à ces préoccupations croissantes, les géants de la technologie ont progressivement renforcé les contrôles d'accès aux données sensibles. Des mises à jour successives des systèmes d'exploitation ont limité la capacité des applications à accéder librement à la liste des applications installées. Ces changements visent à protéger la vie privée des utilisateurs et à réduire les risques liés à la collecte non autorisée de données.

Depuis 2022, avec Android 11, Google a supprimé cet accès aux développeurs d'applications. Dans le cadre de la nouvelle politique de visibilité des paquets, les applications ne doivent voir les autres applications installées que si elles sont essentielles à leur fonctionnalité de base. Les développeurs doivent également déclarer explicitement ces applications dans le fichier AndroidManifest.xml, un fichier de configuration obligatoire pour toutes les applications Android.

Pour des cas d'utilisation extrêmement spécifiques tels que les gestionnaires de fichiers, les navigateurs ou les applications antivirus, Google accorde une exception en autorisant QUERY_ALL_PACKAGES, ce qui permet d'avoir une visibilité totale sur les applications installées.

Malgré ces mesures, qu'en est-il réellement ?

Dans un billet, Pea Bee s'est laissé aller à une étude locale de la situation en Inde. Ci-dessous, un extrait de son billet :

Je n'utilise pas Android comme téléphone principal, mais j'en ai un de rechange et j'étais vraiment curieux de savoir quelles applications d'entreprises indiennes avaient vérifié les autres applications que j'avais installées.

J'ai donc téléchargé quelques douzaines d'applications indiennes qui me venaient à l'esprit et j'ai commencé à lire leurs fichiers manifestes. Je suis sûr qu'elles respecteront ma vie privée et qu'elles n'interrogeront que les applications essentielles à leur fonctionnalité de base. 🙃

Il convient de reconnaître qu'il existe des raisons légitimes pour qu'une application vérifie quelles autres applications sont installées sur votre téléphone. Par exemple, une application peut vérifier quelles applications UPI sont installées afin d'afficher des options de paiement pertinentes. La plupart des fichiers manifestes que j'ai examinés contenaient des vérifications concernant ces applications. Certains recherchaient également des applications de clonage ou des applications multi-comptes, probablement à des fins de sécurité et de détection des fraudes. Tous ces cas d'utilisation sont acceptables.

Mais quelques entreprises indiennes sont allées plus loin dans ces vérifications.

Swiggy

Commençons par Swiggy. Son fichier manifeste contient 154 noms de paquets, ce qui lui permet d'interroger les applications présentes sur mon téléphone.


Je ne sais même pas par où commencer pour décortiquer cette folie. En quoi le fait de savoir si j'ai installé l'application Xbox ou Playstation sur mon téléphone est-il essentiel à la fonctionnalité de base de Swiggy ? En quoi le fait de savoir si j'ai l'application Naukri ou Upstox les aidera-t-il à livrer des courses à ma porte ?

Le large éventail de catégories d'applications dans cette liste suggère fortement que Swiggy recueille des données sur les applications installées à des fins de profilage des utilisateurs et de construction d'un profil comportemental de leurs clients. Cela semble aller à l'encontre des politiques du Play Store qui considère la liste des applications installées comme des données personnelles et sensibles de l'utilisateur.

Cela m'a rappelé ce ppt de Blume Ventures - celui dont les comptes twitter à coche bleue vivant dans certains codes pin de Bengaluru discutent passionnément entre eux pendant une semaine chaque année. Il contenait cette diapositive intéressante sur les applications utilisées par les différents Indiens :


Swiggy interroge la plupart de ces applications et bien plus encore sur votre téléphone. Il sait non seulement à quelle Inde vous appartenez, mais aussi où vous vous situez exactement.

Zepto

Parlons maintenant d'une autre application, et c'est le suspect habituel, le champion incontesté Zepto. Elle a répertorié 165 applications à vérifier sur votre appareil.

De Netflix à Bumble en passant par Binance, la liste comprend presque toutes les applications populaires, toutes catégories confondues. Il a récemment été signalé que Zepto affichait des prix différents pour les utilisateurs d'iOS et d'Android. Grâce à ces données, ils peuvent également afficher des prix différents pour les différents téléphones Android, ce que certains clients constatent déjà.

Même si Swiggy et Zepto doivent déclarer ces applications à interroger dans le fichier manifeste, en tant qu'utilisateur, vous n'avez aucune visibilité sur cette liste lorsque vous téléchargez leurs applications depuis le Play Store.

Liste pour leurs livreurs

J'ai également analysé les applications de Swiggy et de Zepto pour leurs livreurs. La liste des requêtes de l'application est différente de celle de leurs applications grand public. Dans les deux cas, il s'agit de vérifier pour quelles autres entreprises travaillent les livreurs. Voici la liste de Zepto :


Mais Swiggy va encore plus loin : elle vérifie également la présence d'applications de prêts personnels, d'applications de finances personnelles et surveille même les applications telles que Ludo King ou Carrom Pool sur les téléphones de ses livreurs.


Ne pouvons-nous même pas jouer à Ludo en paix sans être espionnés par nos employeurs ? Est-ce que même les temps d'arrêt doivent être suivis par Swiggy ? Il est embarrassant que Swiggy ressente le besoin d'inclure ces requêtes d'application ridicules sur les téléphones de ses livreurs.

En ce qui concerne les applications de prêt personnel en Inde, leurs pratiques prédatrices sont bien documentées. Il y a quelques années, une vaste opération de répression a conduit à la suppression de milliers d'applications de ce type sur le Play Store. J'ai jeté un coup d'œil à certaines d'entre elles qui existent encore.

Kreditbee est l'une des meilleures applications dans le domaine des prêts personnels sur le Play Store, avec plus de 50 millions de téléchargements. Et pouvez-vous croire que leur application vérifie la présence de 860 applications installées sur votre téléphone ? 860 !!! Je suis désolé, il vous faudra peut-être plisser les yeux ou zoomer un peu pour voir cette liste.

Je n'ai fait que survoler cette liste - il y a tout simplement trop d'applications. J'espère que quelqu'un qui lira ces lignes pourra en faire une analyse approfondie. C'est probablement dû à la bulle dans laquelle je vis, mais je n'avais même pas entendu parler de la plupart de ces applications. Même si la plupart d'entre elles ont des dizaines de millions de téléchargements.

Au-delà des catégories habituelles, je vois qu'il y a des contrôles pour des applications comme Tamil Calendar,...