Maîtrisez les réglages de votre smartphone pour protéger vos données

Un smartphone Android et iOS peut se révéler être un véritable mouchard. Voici quelques conseils pour être moins suivi à la trace par la publicité.
La Cnil et Inria viennent de réaliser un test en conditions réelles sur l’utilisation de nos données par les applications mobiles installées sur nos smartphones. Les données de géolocalisation sont ainsi très demandées dans des proportions qui ne semblent pas correspondre aux usages des applications étudiées. 30 % des événements détectés par les outils de l’Inria concernaient des données de géolocalisation.
Paramétrer la géolocalisation de votre terminal
Selon que vous possédez un téléphone Android (Google) ou iOS (Apple), vous n’avez pas accès au même degré de paramétrage des fonctionnalités de géolocalisation de votre terminal. Sur iOS 8, vous pouvez régler le comportement de chaque application. Pour cela il suffit de cliquer sur l’icône « Réglages » de l’écran d’accueil du téléphone, puis de choisir l’option « Confidentialité ». Le « Service de localisation » donne ensuite accès à la liste des applications avec trois possibilités : ne jamais autoriser l’application à vous localiser, ne l’autoriser que lorsqu’elle fonctionne, ou, enfin, toujours l’autoriser.

Sur Android Lollipop 5.0, l’activation, ou la désactivation, de la localisation se fait de manière globale pour toutes les applications. Pour cela, cliquez sur l’icône « Paramètres » de votre écran d’accueil. Vous trouverez une option « Position » puis « Services de localisation ». Cette dernière option est liée au compte Gmail de l’utilisateur. Elle donne ensuite accès à deux options désactivables : « Mise à jour de la position » qui autorise Google à enregistrer et à utiliser les données de localisation associées et « Historique des positions » qui permet d’enregistrer l’historique des données de localisation.

Pour d’autres versions d’Android, l’option « Services de localisation » se situe dans les « Paramètres » sous l’onglet « Plus ». Cette option est directement liée au GPS. Tout comme les paramètres de localisation liés à vos comptes Google, elle correspond à une activation ou une désactivation de celui-ci. Vous ne pouvez donc pas interdire à un outil en particulier de vous géolocaliser.

Suivi à la trace par le wifi
Et désactiver le GPS n’est de toute manière pas suffisant. Une partie des applications localisent l’utilisateur via le wifi. « L’adresse Mac de la carte wifi du téléphone est stable, unique au monde et n’est pas réinitiable par l’utilisateur. Sans demander d’autorisation explicite, il est possible de géolocaliser les utilisateurs en utilisant les bases de données existantes des points d’accès wifi », explique Vincent Roca, chercheur à Inria.
Par triangulation, il est ensuite possible de localiser un utilisateur lorsque son téléphone essaie de se connecter aux réseaux wifi qu’il rencontre. « L’application peut aussi connaître l’historique de vos points d’accès wifi », ajoute Vincent Roca. Il est ensuite possible de trouver des liens entre les utilisateurs en comparant les réseaux wifi auxquels ils se connectent. « Tout ceci est possible sur Android avec deux autorisations appelées ACCESS_WIFI_STATE et INTERNET. Et beaucoup d’applications en font usage », met en garde le chercheur.
Cerise sur le gâteau, la localisation n’intervient pas uniquement lorsque l’utilisateur se sert de l’application, mais aussi lorsqu’elle est exécutée en tâche de fond. Mieux vaut s’assurer que les applications ne tournent donc pas en arrière-plan. Pour cela, maintenez appuyer la touche « Home » du téléphone (le bouton physique sur la face avant du téléphone). La liste des applications en cours d’exécution s’affiche alors, et il suffit ensuite de pousser les icônes sur la gauche ou sur la droite pour arrêter les applications.

Sur iOS, le mécanisme est presque le même. Il faut double cliquer sur la touche « Home » du téléphone, puis pousser les applications vers le haut. Ceci dit, certaines applications continuent à faire tourner des services en arrière-plan. Ceux-ci sont parfois lancés au démarrage du téléphone.
Sur Android, la liste des processus en court d’exécution est accessible, mais difficile à atteindre. Pour y arriver, cliquez sur l’icône « Paramètres » de votre écran d’accueil, puis sur l’onglet « Plus » et sur l’option « Gestionnaire d’applications ». Il faut ensuite faire défiler les onglets vers la droite (« Téléchargé », « Carte SD », etc.) pour atteindre « Exécution ». En cliquant sur les applications, il est ensuite possible d’arrêter les services. Mais ils redémarrerent automatiquement dès que vous relancez l'application, et certains se lancent automatiquement lorsque le smartphone redémarre.

Au final, pour éviter d’être tracé, mieux vaut désactiver le plus souvent possible le wifi. Il est aussi fortement conseillé de désinstaller les applications dont on ne se sert plus, et de prendre le temps de lire les commentaires et de vérifier l’origine d’une application avant de l’installer sur son téléphone. « Dans la plupart des cas, toutes les données sont récoltées dans les 15 premières secondes après l’installation », met en garde Stéphane Petitcolas, ingénieur expert à la Cnil.
Limiter le suivi publicitaire
Pour limiter le traçage lié aux publicités, des paramétrages sont accessibles sur iOs et Android. Il s’agit notamment de réinitialiser l’Ad-id, l’identifiant utilisé pour les publicités sur les téléphones équivalents aux cookies sur nos ordinateurs. Sur Android Lollipop, allez dans les « Paramètres », choisissez l’option « Annonces » puis « Désactivez annonces par centres d’intérêt » pour limiter le suivi publicitaire. Vous pouvez aussi réinitialiser l’identifiant publicitaire.

Sur d’autres versions d’Android, ces deux options sont accessibles dans les « Paramètres » au niveau de l’onglet « Comptes » en choisissant « Google » puis « Annonces »

Sur iOS 8, dans les « Réglages », vous avez accès à l’option « Confidentialité » puis « Publicité » vous pouvez là aussi réinitialiser l’identifiant de publicité et activer le « Suivi publicitaire limité ».

Malgré tout ceci, une application qui a récolté l’un des identifiants uniques de votre téléphone - IMEI (numéro de série du terminal) ou adresse Mac de la carte wifi - sera toujours en mesure de vous reconnaître.
En résumé, les paramétrages sont rarement faciles à atteindre et les marges de progression des éditeurs d’applications et des deux systèmes d’exploitation mobiles principaux du marché (iOS et Android) sont importantes. Nous sommes très loin d’un système où l’utilisateur à un contrôle réel de ce qu’il voit et de ce qu’il fait.