Universidad Carlos III de Madrid (UC3M) et l'Institut des Réseaux IMDEA, en collaboration avec l'International Computer Science Institute (ICSI) de Berkeley (USA) et Stony Brook University of New York (USA), ont réalisé une étude qui englobe 82, 000 applications préinstallées dans plus de 1, 700 appareils fabriqués par 214 marques, révélant l'existence d'un écosystème complexe de fabricants, opérateurs mobiles, développeurs et fournisseurs d'applications, avec un vaste réseau de relations entre eux. Cela inclut des organisations spécialisées dans la surveillance et le suivi des utilisateurs et dans la fourniture de publicité sur Internet. De nombreuses applications préinstallées facilitent l'accès à des données et ressources privilégiées, sans que l'utilisateur moyen soit au courant de leur présence ou puisse les désinstaller.

L'étude montre, d'un côté, que le modèle d'autorisation sur le système d'exploitation Android et ses applications permet à un grand nombre d'acteurs de suivre et d'obtenir des informations personnelles sur les utilisateurs. À la fois, il révèle que l'utilisateur final n'a pas connaissance de ces acteurs dans les terminaux Android ni des implications que cette pratique pourrait avoir sur sa vie privée. Par ailleurs, la présence de ce logiciel privilégié dans le système rend difficile son élimination si l'on n'est pas un utilisateur expert.

Ces résultats sont détaillés dans un article qui sera rendu public le 1er avril et qui sera présenté lors de l'une des principales conférences mondiales sur la cybersécurité et la confidentialité, le 41e Symposium IEEE sur la sécurité et la confidentialité, Californie (États-Unis) sous le titre An Analysis of Pre-installed Android Software. L'Agencia Española de Protección de Datos - AEPD (Agence espagnole de protection des données), qui a contribué à la diffusion de cette étude en raison de l'impact massif des résultats sur la vie privée des citoyens, présentera les résultats devant la Commission européenne pour la protection des données.

Autres constatations

En plus des autorisations standards définies dans Android et contrôlables par l'utilisateur, les chercheurs en ont identifié plus de 4, 845 autorisations propriétaires ou personnalisées par différents acteurs dans la fabrication et la distribution des terminaux. Ce type d'autorisation permet aux applications annoncées sur Google Play d'échapper au modèle d'autorisation d'Android pour accéder aux données des utilisateurs sans exiger leur consentement lors de l'installation d'une nouvelle application.

En ce qui concerne les applications préinstallées sur les appareils, 1, 200 développeurs ont été identifiés derrière le logiciel pré-installé, ainsi que la présence de plus de 11 000 bibliothèques tierces (SDK) incluses dans le même. Une partie importante des bibliothèques est liée aux services de publicité et au suivi en ligne à des fins commerciales. Ces applications préinstallées sont exécutées avec une autorisation privilégiée et sans pouvoir, dans la majorité des cas, à désinstaller du système. Une analyse exhaustive du comportement de 50 % des applications identifiées révèle que nombre d'entre elles présentent un comportement potentiellement dangereux ou indésirable.

Concernant les informations proposées lors de la connexion à un nouveau terminal, le manque de transparence des applications et du système d'exploitation Android lui-même est mis en lumière, en montrant à l'utilisateur une liste d'autorisations différentes des vraies, limitant ainsi la capacité de prise de décision concernant la gestion des données personnelles.

Plan d'action de l'AEPD

Conformément à un communiqué de presse de l'AEPD, cette agence nationale présentera cette étude et ses conclusions aux sous-groupes de travail de la Commission européenne pour la protection des données (ECDP), une entité de l'Union européenne faisant partie de l'Agence, avec d'autres autorités européennes de protection des données et le Contrôleur européen. Parmi les fonctions de l'ECDP figure la promotion de la coopération entre les agences de protection des données.

L'Agence inclut dans le deuxième axe central de son Plan Stratégique (Innovation et Protection des Données) la mise en place de canaux de collaboration avec des groupes de recherche, industrie, et développeurs, dans le but de favoriser la confiance dans l'économie numérique conformément à ce qui est défini dans le Règlement général sur la protection des données (RGPD). Selon l'Agence espagnole de protection des données, cette étude contribue à permettre aux industriels, développeurs et distributeurs à appliquer les principes de confidentialité par défaut et de conception établis dans le RGPD et visant à protéger les droits et la liberté des individus. La diffusion de l'étude menée par IMDEA Networks et UC3M s'inscrit dans le cadre de ces actions, indépendamment des actions possibles pouvant résulter des pouvoirs et du cadre cohérent établi par le RGPD.