Les téléphones et les tablettes que nous transportons transmettent constamment un flux constant d'informations à des tiers. Nos recherches, partages et messages ne représentent qu'une fraction des données sensibles, privées et identifiables que nos appareils génèrent. Les données comprennent de nombreux " identifiants ", allant d'un numéro IMEI de type série qui est unique à chaque combiné à des identifiants de système d'exploitation uniques et même des informations de localisation. Certains de ces identifiants sont personnellement identifiables et " intégrés " aux appareils que nous transportons avec nous, tandis que d'autres sont créés lorsque nous utilisons des applications ou naviguons sur Internet. De plus, bon nombre de ces identifiants sont transmis et collectés sans notification aux utilisateurs et finissent par être transmis à des tiers, y compris des développeurs d'applications et des partenaires publicitaires.
La transmission constante de données d'identification est importante pour fournir aux utilisateurs des services et des contenus homogènes et personnalisés. Toutefois, la nature révélatrice unique des identificateurs, combinée aux incohérences dans la façon dont ils sont recueillis, transmis et protégés, soulève de sérieuses préoccupations en matière de sécurité et de protection des renseignements personnels.
Ce document :
- Décrit les identificateurs clés des appareils mobiles.
- Souligne certains identificateurs qui sont accessibles et souvent recueillis par diverses parties.
- Souligne les risques associés à la transmission et à l'utilisation répandues de ces identificateurs.
Identificateurs clés pour les appareils mobiles
Les appareils mobiles se voient attribuer de nombreux identifiants utilisés par les fabricants de matériel, les fournisseurs de services de télécommunications, les fabricants de systèmes d'exploitation, les annonceurs et les développeurs d'applications. Les identificateurs sont utilisés pour enregistrer les appareils sur les réseaux mobiles, pour assurer le bon fonctionnement des systèmes d'exploitation et le bon fonctionnement des applications. Ils peuvent également être utilisés pour faciliter le suivi des utilisateurs et pour le ciblage de la publicité.
Dans ce qui suit, nous examinons certains des différents types d'identificateurs qui sont présents à plusieurs niveaux (voir la figure 1) :
- Dispositif physique (p. ex., téléphones cellulaires)
- Réseau de communication (p. ex., AT&T)
- Système d'exploitation (p. ex. Android ou iOS)
- Couche d'application (p. ex. Angry Birds)
Dispositif physique
- L'adresse MAC Address (Media Access Control) : identifie de manière unique les émetteurs sans fil tels que les puces Bluetooth et Wi-Fi de l'appareil.
- IMEI (L'International Mobile Equipment Identifier) : est une chaîne de chiffres unique pour chaque appareil.
Il existe un ensemble d'identifiants associés aux différents composants des appareils mobiles. Les différentes radios intégrées à l'appareil, telles que celles associées aux communications cellulaires, sans fil, bluetooth et NFC (near field communications), qui reçoivent toutes des adresses MAC (Media Access Control) uniques. L'adresse MAC est attribuée à une radio, bien qu'elle puisse parfois être réécrite à l'aide de logiciels. L'adresse MAC de la puce Wi-Fi du périphérique est généralement diffusée lorsque le Wi-Fi est activé et que le périphérique recherche des points d'accès. L'International Mobile Equipment Identifier (IMEI) est lié aux appareils physiques et reste le même pendant toute la durée de vie de l'appareil. L'IMEI désigne l'organisme de normalisation responsable de l'attribution de l'identificateur, l'heure à laquelle il a été fabriqué, le numéro de série attribué au modèle de l'appareil et la version du logiciel installé sur le téléphone.
Réseau de communication
- MIN / MSIN : Le numéro d'identification mobile ou le numéro d'identification d'abonnement mobile identifie de façon unique un appareil mobile à un opérateur. Le numéro est inclus dans l'IMSI à titre d'identificateur important.
- SIM : Le module d'identification de l'abonné identifie et authentifie le téléphone et l'utilisateur sur le réseau, possède un numéro de série unique et détient des informations importantes sur l'utilisateur.
- IMSI : Le numéro international d'identification d'abonné mobile identifie l'utilisateur de manière unique.
- Device IP Address : Avec les données mobiles, les appareils se voient généralement attribuer une adresse IP réseau.
- MSISDN : Le numéro de réseau numérique à intégration des services pour abonnés mobiles comprend le numéro de téléphone de l'appelant et identifie de façon unique la carte SIM d'un abonné particulier.
Les opérateurs de réseaux de communication, comme les opérateurs de téléphonie mobile (par exemple AT&T) ou les opérateurs de connexion Wi-Fi (par exemple, les cafés), peuvent lire une série d'identifiants sur les appareils. Dans le cas des opérateurs, ils attribuent également leurs propres identifiants.
Opérateurs mobiles
Les opérateurs de services mobiles attribuent généralement des identificateurs qui enregistrent les abonnés aux réseaux cellulaires. Le numéro d'identification mobile (NIM ou MSIN) est utilisé pour identifier un abonné de manière unique. Un module d'identification d'abonné (SIM), communément appelé "carte SIM", comprend des informations sur l'opérateur associé au module, son heure de fabrication et d'autres informations spécifiques au transporteur, ainsi qu'un numéro de série lié de manière unique à la SIM lui-même. La carte SIM est identifiée au réseau par un numéro IMSI (International Mobile Subscriber Identity), qui identifie à son tour l'indicatif du pays mobile, l'indicatif de réseau et le numéro d'identification de l'abonnement mobile. Dans le cas de données cellulaires, une adresse IP réseau est également attribuée à l'appareil.
À l'aide d'identificateurs comme l'IMSI, les opérateurs cellulaires recueillent habituellement des enregistrements de géolocalisation des mouvements des appareils mobiles en fonction de la proximité des tours cellulaires. Ils recueillent également des renseignements sur la facturation et l'utilisation (p. ex. sites Web visités, numéros composés, numéros composés, messages envoyés et reçus, etc.)
Opérateurs Wi-Fi
Par rapport aux fournisseurs de services cellulaires, les opérateurs Wi-Fi ont tendance à émettre ou à exiger moins d'identificateurs. Les opérateurs Wi-Fi attribuent le plus souvent des informations d'adresse IP, bien qu'ils puissent également avoir besoin d'informations d'authentification pour se connecter au point d'accès Wi-Fi. Cependant, il est difficile de généraliser sur les pratiques des opérateurs Wi-Fi, car ils ont des politiques très différentes sur la collecte et la conservation des données transmises par les appareils des utilisateurs.
Il est important de noter que les fournisseurs de réseaux de communications (mobiles et Wi-Fi) sont souvent en mesure de lire, de conserver/enregistrer ou de prendre des décisions basées sur les identifiants et les données qui sont transmis sur leurs réseaux. Par exemple, un fournisseur de communications peut surveiller les identificateurs liés à un dispositif physique ainsi que les identificateurs associés aux systèmes d'exploitation et aux applications. Après avoir lu les identificateurs, ils peuvent enregistrer la présence des identificateurs à des fins de facturation ou de marketing, et décider de fournir ou non un service à l'appareil.
Système d'exploitation
- IFA : L'Identificateur d'Annonceurs d'Apple permet aux développeurs d'applications de suivre les utilisateurs et de remplacer l'UDID (Unique Device Identifier).
- Android Identifier : Un numéro unique généré lors de la première exécution du système d'exploitation qui peut être utilisé pour suivre les utilisateurs.
- Google Wallet & Apple Pay : Services de paiement liés à la fois aux appareils et aux comptes.
Les développeurs de systèmes d'exploitation mobiles, tels que Google, Apple, Microsoft et Blackberry, peuvent également inclure des identificateurs qui aident les utilisateurs à utiliser leurs appareils et fournissent des ressources aux développeurs chargés de créer des applications pour les systèmes d'exploitation des fabricants respectifs.
Les appareils Android, par exemple, ont l'Android Identifier qui est généré la première fois qu'un OS Android nouvellement installé est démarré. Auparavant, les appareils Apple utilisaient et partageaient un UDID (unique Device Identifier) avec des applications. Après que les chercheurs et la presse eurent fait part de leurs préoccupations en matière de confidentialité et de sécurité, Apple a introduit un numéro distinct dans les versions plus récentes de l'iOS, appelé l'Identifiant des annonceurs (IFA). L'IFA (qui peut être désactivé par le propriétaire d'un appareil) permet aux annonceurs de suivre le comportement des utilisateurs à travers les activités.
Parfois, les fournisseurs de systèmes d'exploitation invitent les utilisateurs à générer de nouveaux identifiants ou identifiants, tels qu'un nouveau compte Google, un compte Microsoft Live ou AppleID. Un nombre croissant d'entreprises, dont Google (Google Wallet) et Apple (Apple Pay), intègrent également des services de paiement mobile avec des options de communication en champ proche intégrées aux appareils. De plus, les opérateurs de téléphonie mobile intègrent parfois ces options de paiement avec les magasins d'applications mobiles, comme Google Play ou l'App Store. Les utilisateurs peuvent également être invités à fournir au fabricant du système d'exploitation des informations sur le " panne " et ces informations peuvent contenir des détails sur l'appareil de l'utilisateur et l'utilisation qu'il en fait.
Couche d'application
Enfin, les concepteurs d'applications développent des identificateurs à des fins d'authentification et de publicité. Ils peuvent exiger des utilisateurs qu'ils créent ou se connectent à l'aide de justificatifs d'identité ou, lorsqu'ils paient des articles, qu'ils paient par l'intermédiaire de systèmes de paiement basés sur le système d'exploitation ou de leurs propres passerelles de paiement indépendantes. Les applications peuvent également faire " fuire " des informations d'identification sur l'application elle-même, telles que la déclaration de leur nom, des informations de version ou du protocole de communication dans la chaîne d'identification utilisateur-agent.5
Les applications peuvent également demander l'accès à des données de capteurs (p. ex. accéléromètre) ou de communications, comme des données GPS, Wi-Fi ou SMS. Les applications peuvent également demander des données utilisateur, telles que les contacts et les fichiers. D'autres applications encore demandent un large éventail d'informations aux périphériques utilisateurs, qui ne sont pas toutes clairement alignées avec les fonctionnalités annoncées de l'application. Même si l'application elle-même n'utilise que les permissions "nécessaires" pour la fonctionnalité, les réseaux publicitaires inclus dans l'application peuvent être "ferroutage" sur les permissions demandées par l'application afin d'accéder aux données d'identification.
L'accès à ces données est généralement appelé " permissions " ; ce n'est qu'une fois qu'un utilisateur ou un propriétaire d'appareil a permis à l'application de lire ces informations qu'il a accès aux données de capteur, d'utilisateur ou de communication demandées.
Les enquêtes sur les applications des appareils mobiles ont montré que les applications demandent l'accès à plus d'informations qu'il n'en faut pour exécuter les fonctions indiquées (par exemple, une application de calculatrice demandant l'accès à la géolocalisation, aux SMS et aux informations du journal des appels). De telles demandes trop larges de données sur des appareils mobiles créent des problèmes de confidentialité, notamment : l'utilisateur peut ne pas savoir que des données personnelles sont partagées ; le développeur de l'application peut partager des données avec des tiers ; les données peuvent ne pas être transmises en toute sécurité ; et les données peuvent ne pas être stockées en toute sécurité.
Qui peut accéder à quoi sur un appareil mobile ?
La gamme d'identificateurs dont il a été question précédemment n'est pas accessible à toutes les différentes parties impliquées dans la facilitation et l'activation des communications basées sur les appareils mobiles. Le tableau 4 présente un résumé général des types de données disponibles pour chaque partie. Toutefois, étant donné la complexité de l'écosystème, il est difficile de généraliser et il est probable qu'il y ait des variations dans des cas particuliers.
L'opérateur mobile
Les opérateurs possèdent généralement une vaste gamme de renseignements à votre sujet ; en plus des identificateurs indiqués au tableau 4, ils peuvent avoir des renseignements sur les paiements après la facturation, des renseignements d'identification du gouvernement lorsque ces renseignements doivent être fournis pour recevoir une carte SIM, des renseignements sur le crédit, et plus. Ces types d'informations supplémentaires peuvent être nécessaires pour satisfaire aux exigences commerciales ou réglementaires.
Fournisseur Wi-Fi
Le fournisseur du réseau Wi-Fi auquel un appareil est connecté peut capturer et lire le trafic de données non chiffré, par exemple le trafic Web non chiffré. Ce type de fournisseur peut également déterminer des informations sur un périphérique connecté au réseau en analysant les chaînes utilisateur-agent transmises, l'adresse MAC du périphérique ou tout identificateur que les développeurs d'applications ou de systèmes d'exploitation mobiles transmettent en texte clair.
Les Éditeurs d'OS
Les développeurs des principaux systèmes d'exploitation, comme Android, ont accès à un large éventail d'informations sur l'appareil. Pour qu'un appareil Android reçoive régulièrement des mises à jour, il doit être lié à un compte, tel que le compte Gmail requis pour accéder au Google Play Store. En plus de l'éventail exceptionnellement large d'informations sur l'appareil que cet accès fournit, de nombreuses applications groupées sur les téléphones, y compris les cartes, fournissent un flux riche d'informations de localisation au fabricant du système d'exploitation.
Les principes de conception intégrés dans les systèmes d'exploitation mobiles varient considérablement, avec des conséquences sur la quantité de communications d'un utilisateur que le fournisseur voit. Par exemple, sur Android, les messages Google Hangout sont accessibles à Google dans un format non chiffré, alors que les communications iMessage sur iOS sont chiffrées de bout en bout, empêchant Apple de lire facilement ces messages. Malgré ces différences, les fournisseurs reçoivent toujours des informations substantielles sur les utilisateurs par des moyens tels que la sauvegarde et la restauration des comptes mobiles, les mises à jour, les applications cartographiques et les activités sur les app stores.
Enfin, bien qu'il existe d'énormes différences entre les fabricants de combinés, les principaux fabricants ont également accès à de l'information permettant d'identifier les utilisateurs. Par exemple, certains grands fabricants offrent des services de " recherche de mon mobile ", des services de sauvegarde et des mises à jour. Certains rapports précédents ont mis en évidence des problèmes de confidentialité et de sécurité liés à ces services, y compris des cas où des données personnelles d'utilisateurs ont apparemment été envoyées sans chiffrement.
Développeur d'applications
Les développeurs d'applications peuvent accéder à une gamme d'identificateurs dans le cadre de la prestation de leurs services. De nombreux systèmes d'exploitation mobiles révèlent les identifiants auxquels une application cherche à accéder, tels que les informations de numérotation téléphonique, les messages SMS ou le GPS de l'appareil ; ces autorisations possibles sont indiquées dans le Tableau 4. De plus, les développeurs peuvent s'associer à des réseaux publicitaires ou à d'autres tiers et partager les identificateurs ou les renseignements personnels de leurs utilisateurs avec ces autres parties. Par conséquent, en plus des collecteurs apparents d'identifiants (c.-à-d. les développeurs d'applications), il y a en grande partie des collecteurs cachés, comme ceux qui appartiennent à des annonceurs et à des sociétés d'analyse ou de rapports de crash.
Suivi des périphériques par des tiers à l'aide d'identificateurs
Les nombreux identifiants attribués à nos appareils font partie intégrante de l'exploitation des réseaux mobiles et sans fil. Cependant, une série de vulnérabilités peuvent être exploitées par une autre catégorie d'acteurs : les tiers qui cherchent à suivre ou à surveiller les communications des propriétaires de dispositifs.
Par exemple, les failles de sécurité dans la conception du système téléphonique mondial permettent à des tiers de suivre en silence l'emplacement de n'importe quel numéro de téléphone mobile n'importe où dans le monde, ainsi que de surveiller les activités des utilisateurs. À un niveau plus local, les entreprises surveillent de plus en plus les déplacements des clients et la circulation piétonnière près de leurs magasins et à l'intérieur de ceux-ci ; certaines entreprises utilisent l'adresse MAC Wi-Fi, la force du signal et d'autres caractéristiques des appareils mobiles pour identifier les clients lorsqu'ils parcourent les magasins ou marchent dans les zones commerciales. Certains fabricants ont tenté de réduire les caractéristiques d'identification de la connectivité Wi-Fi en randomisant les adresses MAC, mais avec des résultats mitigés.
Collecte et surveillance des données par les acteurs étatiques
Partout dans le monde, les gouvernements ont largement recours aux vulnérabilités et aux lacunes en matière de protection de la vie privée associées aux communications mobiles pour effectuer une surveillance ciblée et généralisée.
Nous savons, d'après un cas récent en Libye, que le régime Kadhafi a utilisé le suivi et la surveillance sur le réseau mobile comme un puissant outil de contrôle et de répression. De plus, les acteurs étatiques ont également piraté les systèmes des fabricants de cartes SIM pour collecter les clés de chiffrement et peuvent collecter les numéros IMSI et IMEI en même temps que les informations des appels téléphoniques. Au niveau local, certaines autorités utilisent des " capteurs IMSI " pour créer de fausses tours cellulaires pour une surveillance ciblée. Comme les téléphones cellulaires à proximité se connectent à ces fausses tours, les utilisateurs peuvent être identifiés et leurs appels et messages peuvent être surveillés.
Les applications s'exécutant sur les appareils mobiles sont également ciblées par les acteurs étatiques. L'Agence canadienne du renseignement du Centre de la sécurité des télécommunications aurait fait l'expérience de la saisie de données qui se sont échappées d'appareils mobiles pour cartographier et suivre ces appareils (et leurs propriétaires) au fur et à mesure de leur déplacement dans le pays. Les agents de renseignement britanniques ont exploité une application de navigation populaire sur le Web qui sécurisait mal l'information des utilisateurs. Enfin, des agents de renseignement britanniques et américains auraient saisi des informations, telles que des carnets de contacts, qui ont été recueillies par l'application " Angry Birds ".
Observations finales
L'écosystème mobile est complexe et à multiples facettes, ce qui rend difficile pour les utilisateurs ordinaires d'évaluer les risques pour leur sécurité et leur vie privée. Même les utilisateurs soucieux de la sécurité éprouvent des difficultés à contrôler les communications à partir de leurs appareils. Ce document de travail a pour but de ne mettre en évidence qu'une partie de cet environnement : les nombreux identifiants uniques qui sont régulièrement transmis à partir de nos appareils. Nous vous invitons à nous faire part de vos commentaires et suggestions, et nous espérons mettre à jour le document de travail à l'avenir.
sauce :
https://citizenlab.ca/2015/05/the-many-identifiers-in-our-pocket-a-primer-on-mobile-privacy-and-security/