Modèle Android de protection de la vie privée
Nous présentons dans cette section les étapes clés du modèle de protection de la vie privée sur Android . Nous détaillerons dans un premier temps son cadre légal. Puis nous étudierons le versant utilisateur du processus à savoir le système d’autorisations et de consentement. Enfin, nous expliquerons le versant technique à savoir la déclaration et validation des permissions.
Aspects juridiques : Politiques de confidentialité
Quand il est question de données personnelles et service en ligne, l’approche « notification et consentement » est la norme. Cette approche informe l’utilisateur des pratiques de confidentialité du service, à savoir de collecte et traitement des données personnelles, et donne à l’utilisateur le choix de s’engager, ou non, avec le service. Les médias sociaux mobiles ne dérogent pas à la règle. La demande de consentement se fait à l’inscription, nécessitant une action de la part de l’utilisateur : cocher la case « J’ai lu et accepte les conditions d’utilisation du service et politiques de confidentialité », appuyer sur un bouton « En cliquant sur créer un compte, vous acceptez nos conditions et indiquez que vous avez lu notre politique de confidentialité » ou autre. D’autre part, Google Play, marché applicatif officiel d’Android, exige que les applications, traitant des informations personnelles ou sensibles, fassent preuve de transparence et publient des règles de confidentialité sur la fiche Google Play Store de l’application, ainsi que dans l’application en elle même (Google Play, 2017). Ces règles doivent décrire dans le détail les méthodes de collecte, d’utilisation et de partage des données de l’utilisateur et l’application doit limiter la pratique (collecte, utilisation partage de données) au cadre. Enfin, la loi applicable peut imposer d’autres mesures et pénalités en termes d’atteinte à la vie privée des utilisateurs.
Dans ce mémoire, nous nous concentrons uniquement sur la collecte des informations personnelles ou sensibles, et, plus précisément sur les informations recueillies sur l’utilisateur. Les informations qu’il saisit sont en dehors du cadre de l’étude.
Notifications et consentement utilisateur
Le système d’autorisations
Comme principal mécanisme de protection de la vie privée des utilisateurs, Android utilise un modèle sophistiqué d’autorisations. Sur les plateformes mobiles, le système d’autorisations régit la manière dont les applications accèdent à certaines ressources, telles que les informations à caractère personnel, les données du mobile et du réseau ou encore les données des capteurs (caméra, GPS, etc.). Les applications Android s’exécutent dans un « bac à sable », zone isolée qui n’a pas accès au reste des ressources du système, sauf si des autorisations d’accès leur sont accordées. Le processus d’autorisation est en deux étapes. Dans un premier temps, le développeur déclare que son application requiert des permissions d’accès à des ressources du mobile (mémoire, capteurs, connectivité, etc.) dans le manifeste de l’application. Dans un second temps, l’utilisateur est invité à examiner et accorder ou refuser l’accès aux ressources lors de l’installation ou de l’exécution de l’application.
En pratique, une autorisation est une courte proposition générique telle que « Lire le journal d’appel » ou « Accéder à votre position précise (GPS et réseau) » de demande d’accès à une ressource, ici le journal d’appel ou les coordonnées GPS du mobile, sans information supplémentaire de son utilité pour le fonctionnement de l’application. Plus précisément, une autorisation Android est une traduction en langage naturel d’une permission d’accès à une ressource destinée à informer l’utilisateur des besoins de l’application.
Changements dans le système d’autorisations Android
Les versions antérieures à Marshmallow, la sixième version Android sortie au cours de l’été 2015, avaient un système d’autorisations binaire qui présentait à l’installation la liste des autorisations requises par l’application. Si l’utilisateur refusait de concéder une ou plusieurs des autorisations listées, sa seule option était de renoncer à installer l’application (Android Developpers : System Permissions, 2017). De précédentes études (Felt, Chin, Hanna, Song, & Wagner, 2011) ont révélé que ce système était inefficace en termes de responsabilisation de l’utilisateur final en relation à la vie privée : l’utilisateur n’était pas en mesure de comprendre ni de contrôler, l’accès des applications à ses données privées. Vient s’ajouter à cela la prolifération d’applications demandant plus d’autorisations que nécessaire (Gorla, Tavecchia, Gross, & Zeller, 2014) et le problème de l’accoutumance de l’utilisateur. Comme l’utilisateur ne comprend pas toujours pourquoi une application nécessite une donnée ou une fonctionnalité spécifique, il n’est pas en mesure d’identifier les cas de surréclamation d’autorisations. Aussi, les demandes d’autorisations systématiques à l’installation altèrent fortement la capacité d’attention rationnelle et de compréhension des individus. Cette altération met à mal la capacité de donner l’aval (consentement) et de contrôler la légitimité de la demande. Dès lors, une majorité d’utilisateurs acceptent les autorisations sans les lire afin d’avoir accès aux services ou fonctionnalités des applications (Felt, Ha, et al., 2012).
Le nouveau modèle d’autorisations Android (version Marshmallow et ultérieures) introduit un changement majeur en demandant les autorisations lors de l’exécution de l’application. La documentation officielle d’Android pour les développeurs (Android Developpers : Permissions Overview, 2018) classe les autorisations en deux catégories en termes de sécurité et risque d’atteinte à la vie privée : normale et dangereuse. Une autorisation est considérée dangereuse quand elle permet l’accès à des informations sensibles : données stockées sur l’appareil ou données captées à caractère personnel (Localisation, SMS, Contacts, etc.). Une autorisation est dite normale lorsqu’elle accède à des ressources pas ou peu sensibles, avec un risque d’atteinte à la vie privée de l’utilisateur ou au fonctionnement des autres applications du mobile très limité. Ainsi, les autorisations normales sont accordées d’office par le système et ne sont pas révocables. Elles doivent être cependant notifiées dans le manifeste, sans quoi elles ne sont pas accordées. Cela permet notamment de respecter l’exigence de transparence de Google Play et Android et d’informer un utilisateur soucieux de sa vie privée. Les permissions dangereuses sont demandées la première fois que l’application les requiert à l’exécution. Cela permet une contextualisation de l’autorisation et ainsi une meilleure compréhension de l’utilisateur. De plus, l’utilisateur peut, à tout moment, consulter, accorder ou révoquer les autorisations dangereuses d’une application dans Paramètres/Applications/Autorisations. Ainsi l’utilisateur est responsabilisé et peut contrôler les applications susceptibles d’affecter sa vie privée. Le modèle est basé sur le principe de minimisation des privilèges (Andriotis, Sasse, & Stringhini, 2016) : il suppose que les applications pourront fonctionner avec service dégradé pour les fonctionnalités nécessitant des permissions récusées par l’utilisateur que nous appellerons dans la suite un « niveau basique ». Cela se traduit, par exemple, par une localisation approximative ou l’absence de synchronisation des contacts de l’application avec le carnet d’adresses du mobile.
INTRODUCTION |