Nous avons parcouru un long chemin depuis l'Internet des années 90 et du début des années 2000. Pas seulement en termes de technologie, de possibilités et de culture, mais aussi dans notre comportement lorsque nous accédons à l'Internet. À l'époque, la plupart des utilisateurs s'efforçaient de ne pas divulguer d'informations personnelles ou d'identification au-delà d'un a/s/l (âge/sexe/emplacement) occasionnel (et souvent complètement fictif), et avant qu'eBay et Amazon ne normalisent les achats en ligne, il était impensable de saisir un numéro de carte de crédit. Sur l'internet d'aujourd'hui, nous faisons toutes ces choses avec insouciance et, pour aggraver les choses, la plupart d'entre nous portent sur eux un appareil qui non seulement détient toutes nos informations personnelles, mais qui transmet également tout ce qui nous concerne, de nos habitudes de navigation à notre emplacement, à des bases de données qui les stockent indéfiniment.
On a toujours su que les deux systèmes d'exploitation mobiles les plus populaires pour ces appareils, iOS et Android, "téléphonent à la maison" ou transmettent des données nous concernant à divers serveurs. Mais la quantité de données transmises par les systèmes d'exploitation eux-mêmes restait largement une question de spéculation, en particulier pour les appareils Apple qui font des choses que seul Apple peut déterminer avec certitude. Alors qu'Apple garde ses mystères pour lui, et qu'on ne peut donc pas lui faire entièrement confiance, Android est beaucoup plus ouvert, ce qui, paradoxalement, permet aux entreprises (et aux utilisateurs malveillants) d'espionner plus facilement les utilisateurs, mais permet aussi à ces derniers de sécuriser plus facilement leur vie privée. Grâce à ce récent rapport sur la protection de la vie privée de plusieurs versions d'Android (avertissement PDF), nous en savons un peu plus sur ce que font spécifiquement les applications système, sur les informations qu'elles collectent et où elles les envoient, et sur les versions d'Android les plus adaptées à ceux d'entre nous qui prennent la vie privée au sérieux.
Les recherches réelles confirment les soupçons
Le rapport se penche sur six "saveurs" différentes d'Android et sur ce que chacune d'entre elles fait en coulisses. Les chercheurs ont étudié les systèmes d'exploitation de Samsung, Xiaomi, Huawei et Realme, qui produisent également leurs propres appareils, mais ont également examiné deux systèmes d'exploitation alternatifs basés sur Android - LineageOS et /e/OS - qui peuvent être installés sur certains appareils et configurés pour la vie privée si l'utilisateur le souhaite. /e/OS a été conçu dans le respect de la vie privée, tandis que LineageOS est plutôt un système de remplacement qui n'est pas spécifiquement axé sur la vie privée. Il n'est pas surprenant que les quatre versions d'Android personnalisées par les fabricants d'appareils transmettent une tonne de données sur les utilisateurs, ou que tout appareil doté d'un package Google Apps (GApps) transmette un flux apparemment ininterrompu d'informations sur les utilisateurs aux serveurs de Google, mais certains des résultats spécifiques obtenus par l'équipe de recherche méritent d'être soulignés.
Tout d'abord, l'article souligne que toutes ces entreprises sont en mesure de relier facilement les appareils aux utilisateurs. Les entreprises associent les numéros IMEI et d'autres identifiants des appareils à d'autres données sur les utilisateurs, ce qui permet de relier ces comptes entre eux comme un simple jeu de piste. La raison principale de cette pratique est le ciblage publicitaire, mais toutes ces entreprises partagent également ces informations sans discernement avec diverses agences gouvernementales. Elles ne sont pas non plus parfaitement sécurisées, de sorte que tout hacker ayant accès à ces informations en disposera également. Cela ne devrait pas être trop surprenant, mais la nouvelle information ici est que les chercheurs ont également constaté que ces données sont partagées entre les entreprises. Par exemple, Samsung et Google semblent partager leurs données entre eux. Swiftkey, une application de clavier populaire, envoie également des informations à Microsoft via Google. Il s'agit d'un réseau assez complexe de partage de données et de services d'une entreprise pour soutenir les efforts de collecte de données d'une autre. Certains de ces efforts de collecte de données comprennent également des détails tels que l'utilisation d'applications horodatées et la collecte de contacts personnels. Bien qu'une grande partie des informations que les systèmes d'exploitation recueillent réellement soit parfois camouflée, il est clair que tout ce qui est fait sur l'un de ces appareils pourrait aussi bien être enregistré comme s'il s'agissait d'un flux Twitch, car il existe des preuves suggérant que tout peut être littéralement surveillé par quelqu'un (ou un logiciel), jusqu'au saisies d'un utilisateur.
Les chercheurs opposent cette activité effrénée de collecte de données à /e/OS, une version d'Android axée sur la vie privée. /e/OS est un fork de LineageOS qui est spécifiquement consacré à la vie privée, n'inclut aucun logiciel lié à Google et ne collecte pratiquement aucune donnée utilisateur par lui-même, à l'exception des informations sur les mises à jour disponibles et d'autres informations nécessaires. LineageOS n'est que marginalement meilleur que les offres Android des principaux fabricants lorsque le paquet GApps est installé avec lui, en grande partie parce que les applications système de Google sont si omniprésentes dans la collecte de données utilisateur. Il est possible d'utiliser LineageOS sans le paquetage GApps, mais les chercheurs n'ont pas adopté cette approche et se sont largement concentrés sur /e/OS comme version d'étude dé-Googlée.
Au-delà de cette étude
Alors que /e/OS est certainement un excellent choix pour les utilisateurs de smartphones soucieux de la vie privée, il y en a quelques autres qui méritent d'être mentionnés et qui n'ont pas été inclus dans l'étude. En tirant la conclusion de cette recherche que le véritable contrevenant à la vie privée est GApps (tant que vous pouvez éviter les autres logiciels espions de Samsung et. al.), il est possible d'installer LineageOS sur un plus grand nombre d'appareils que /e/OS ne supporte actuellement. Puisque l'installation de GApps est quelque chose qui est typiquement sideloaded après l'installation de LineageOS et est une étape facultative, ceci peut simplement être omis.
En outre, si vous ne pouvez absolument pas vivre sans Google Maps ou Gmail, il existe un moyen d'accéder aux services Google sans les installer sur votre appareil. Un logiciel appelé MicroG est disponible. Il s'agit d'un remplacement open-source de GApps qui permet à l'utilisateur d'accéder à des services Google qui seraient autrement disponibles, mais qui restreint le suivi et la collecte des données de l'utilisateur par Google de manière essentielle. Il existe un fork de LineageOS appelé "LineageOS for MicroG" qui inclut ce paquet à la place de GApps par défaut, bien qu'il y ait eu des querelles entre les mainteneurs de ce projet et LineageOS concernant la manière dont MicroG accède aux services Google par usurpation de signature.
Pour ceux qui possèdent des appareils Google Pixel, il existe deux autres options de vie privée. GrapheneOS est la Cadillac des versions d'Android axées sur la vie privée et comporte un certain nombre d'améliorations pour renforcer la sécurité également, comme le sandboxing des applications, la mise en œuvre d'un démarrage sécurisé/vérifié, la désactivation des périphériques via des bascules, et d'autres améliorations. CalyxOS est basé sur GrapheneOS et est similaire mais permet l'utilisation de MicroG et a des pratiques de sécurité moins intenses que GrapheneOS. Les seuls inconvénients de ces versions d'Android sont qu'elles sont construites presque exclusivement pour le Google Pixel et qu'il faut au moins être sûr que Google n'a pas intégré une sorte de porte dérobée matérielle dans ses téléphones.
Android n'est pas la seule option
Il existe quelques autres options pour améliorer la vie privée en ligne lorsqu'on utilise un smartphone. Les téléphones fonctionnant uniquement sous Linux, comme le Pinephone, sont disponibles mais ne sont pas aussi complets qu'Android. Certaines versions de Linux sont également disponibles pour les téléphones qui fonctionneraient autrement sous Android. Il est également probable qu'un iPhone apporte une amélioration en matière de sécurité et de vie privée par rapport à un appareil Android fabriqué en usine par n'importe quel grand fournisseur de services ou fabricant d'appareils, bien que le fait que leur logiciel soit à source fermée et derrière un jardin clos rende cela extrêmement difficile à vérifier. Néanmoins, si un utilisateur n'est pas prêt à franchir toutes ces étapes pour installer /e/OS, GrapheneOS ou Ubuntu Touch, ou si son téléphone a un bootloader verrouillé rendant impossible le flashage d'un nouveau système d'exploitation (ou si son appareil n'est tout simplement pas pris en charge), il est préférable de choisir un iPhone uniquement si toutes les autres options sont épuisées. Bien sûr, la seule autre option est de ne pas posséder de smartphone du tout, ce qui est sans doute le moyen le plus simple d'améliorer les problèmes de vie privée liés à ces appareils.
L'article décrit en détail la méthodologie et inclut également des informations sur la façon dont ils ont déterminé quelles données étaient envoyées pour ceux qui sont curieux de connaître les détails. Il est également intéressant de noter qu'aucune de ces recherches ne porte sur les applications spécifiques qui pourraient être installées sur un téléphone, mais uniquement sur les applications du système d'exploitation. Si vous installez des jeux freemium, des applications bancaires ou Facebook sur votre installation GrapheneOS, par exemple, il est probable que cela annule tous vos efforts en matière de vie privée. L'article lui-même vaut la peine d'être lu, même pour ceux qui n'ont jamais réfléchi à leur vie privée en ligne, même s'ils ont grandi dans les années 90.
source :
https://hackaday.com/2021/11/18/privacy-report-what-android-does-in-the-background/