Android bloque désormais le partage des données de localisation des photos

 (shkspr.mobi)
1 points par GN⁺ 20 일 전 | 2 commentaires | Partager sur WhatsApp
  • Android a été modifié pour supprimer automatiquement les métadonnées de localisation EXIF lors de l’envoi de photos, ce qui interrompt les fonctions de cartographie de localisation des services web
  • Google explique que cette mesure vise à renforcer la protection de la vie privée, afin de réduire les risques de harcèlement ou de cambriolage
  • Les données de localisation sont également supprimées avec la plupart des modes de partage, notamment Bluetooth, QuickShare et l’envoi par e-mail, seule la copie directe par USB restant une exception
  • Les développeurs critiquent l’absence d’annonce préalable de ce blocage, et les applications web n’ayant pas d’alternative, le développement d’une application native devient nécessaire
  • Les avis des utilisateurs sont partagés entre renforcement de la sécurité et limitation du choix, tandis que les discussions se poursuivent sur des contournements techniques permettant de conserver les informations EXIF ou sur une amélioration des standards

Android bloque désormais le partage des données de localisation des photos

  • OpenBenches est un site web où les utilisateurs partagent des photos et la position de bancs commémoratifs, et il affiche une carte à partir des métadonnées de localisation EXIF des photos
  • Mais Android a changé son fonctionnement pour supprimer les informations de localisation lors de l’envoi de photos, rendant impossible la cartographie automatique des positions via le web
  • La méthode HTML <input type="file" accept="image/jpeg"> permettait d’envoyer depuis le sélecteur de photos des images contenant les données de localisation, mais Google l’a bloquée intentionnellement
    • Le sélecteur de fichiers générique recommandé ensuite (<input type="file">) conservait encore les informations EXIF, mais une mise à jour supplémentaire l’a également bloqué
  • Avec d’autres modes de partage comme Bluetooth, QuickShare ou l’envoi par e-mail, les informations de localisation sont aussi supprimées automatiquement, si bien que la copie directe via un câble USB reste la seule exception

Raisons du changement et position de Google

  • Google indique que cette mesure répond à un objectif de protection de la vie privée (Privacy)
    • Si un utilisateur partage sans y prêter attention une photo contenant des données de localisation, cela peut entraîner des risques de harcèlement, de cambriolage ou autres
  • La plupart des services de réseaux sociaux (Facebook, Mastodon, BlueSky, WhatsApp, etc.) suppriment déjà par défaut les informations de localisation, que l’utilisateur ne peut réajouter que manuellement s’il le souhaite
  • Google semble avoir bloqué les données de localisation au niveau du système afin d’éviter les « risques liés à l’exposition de la localisation de l’utilisateur »

Réaction de la communauté et problèmes soulevés

  • Aucune annonce ni concertation préalable n’a accompagné ce changement, ce qui a semé la confusion chez les développeurs comme chez les utilisateurs
  • Les opérateurs de services comme OpenBenches reçoivent des plaintes d’utilisateurs disant que « la fonctionnalité est cassée », et des critiques apparaissent selon lesquelles Google ne prend pas en compte l’avis de la communauté
  • Même dans les applications web (PWA), il est impossible d’accéder aux données de localisation, si bien qu’il ne reste pas d’autre alternative que de développer une application Android native
    • Les applications Android proposent une permission distincte pour accéder aux informations de localisation des photos

Propositions et demandes

  • Une solution évoquée serait d’afficher lors de l’envoi d’une photo une fenêtre de choix du type : « Ce site web souhaite voir les données de localisation de cette photo. Oui / Non / Toujours / Jamais »
    • Mais son efficacité est jugée limitée, en raison de la fatigue liée aux sollicitations répétées et du caractère ambigu des formulations
  • Il est demandé aux développeurs connaissant un moyen d’envoyer des photos depuis un navigateur web Android tout en conservant les données de localisation EXIF de partager leur avis
  • Il est également encouragé de participer avec un retour +1 à une issue de la spec HTML du WHATWG, afin de prendre part à la discussion sur les standards HTML

Résumé des avis des utilisateurs

  • Certains utilisateurs estiment que la mesure de Google constitue une fonction essentielle de protection de la vie privée et l’évaluent positivement
  • D’autres critiquent la disparition du choix pour l’utilisateur, en affirmant qu’« un adulte doit être libre de décider ce qu’il fait sur son propre appareil »
  • Des exemples de contournement technique sont aussi partagés, comme l’envoi des informations EXIF dans une archive ZIP
  • De manière générale, le débat se poursuit autour de l’équilibre entre sécurité et praticité

À lire aussi

2 commentaires

 
unsure4000 20 일 전

Comme sur iOS, il vaudrait sans doute mieux l’intégrer comme option dans le picker, donc un blocage complet est regrettable.
 
GN⁺ 20 일 전
Commentaires Hacker News

  • L’utilisation de la géolocalisation des images envoyées depuis un navigateur mobile est extrêmement rare
    La plupart des utilisateurs ne savent pas qu’en prenant une photo, ils transmettent en temps réel leurs coordonnées GPS à un site web
    Il aurait été préférable qu’un attribut comme includeLocation sur la balise input demande explicitement confirmation à l’utilisateur via une fenêtre contextuelle

    • Quand je travaillais dans une administration, nous avions mené une campagne de protection des habitats de tortues
      Le projet demandait aux citoyens d’indiquer l’emplacement des nids qu’ils découvraient, mais avec un simple formulaire, nous avons reçu une grande quantité de données erronées
      J’ai alors proposé de recevoir des photos et d’en extraire les données EXIF, mais on a refusé, estimant que si l’on demandait la localisation, les gens partiraient immédiatement
      Au final, j’ai compris que les utilisateurs étaient extrêmement réticents à fournir leur position à un site gouvernemental
    • Une part importante des photos publiées sur Google Maps sont des selfies personnels ou des images privées
      Les personnes qui les ont mises en ligne ignorent souvent que leurs photos sont exposées publiquement, et cela semble probablement avoir été lié automatiquement via les données EXIF
    • D’après l’article, ce n’est pas seulement un problème des navigateurs mobiles : les informations de localisation sont aussi supprimées lors des transferts via Bluetooth ou QuickShare
      La localisation ne serait conservée qu’en copiant directement les fichiers via un câble USB puis en les envoyant depuis un navigateur de bureau
      Pour ma part, je souhaite que les informations de localisation restent intactes lors d’une sauvegarde cloud
    • Un téléphone reste avant tout un ordinateur, et je ne vois pas pourquoi Google ou Apple devraient décider de la façon dont mes photos sont utilisées
    • Ajouter automatiquement à une photo des données personnelles sensibles comme une latitude et une longitude précises est une fonctionnalité horrible
      C’est comme si Word ajoutait automatiquement l’adresse de mon domicile dans les métadonnées d’un document

  • Je pense que Google a eu raison de prendre cette mesure
    La plupart des gens ignorent la quantité d’informations contenues dans les métadonnées des photos, et les supprimer correspond aux attentes des utilisateurs

    • Si Google se souciait vraiment de la vie privée, Maps aurait dû rester sur un sous-domaine distinct
      Aujourd’hui, pour donner sa position à Maps, il faut aussi accorder l’autorisation de localisation à Google Search
    • Mais cela fait aussi disparaître complètement une fonction utile
      Comme dans le débat sur le sideloading sur Android, une capacité qui n’existait que pour une minorité de power users disparaît, et au final il ne reste plus que des « appareils simplifiés à l’extrême »
    • Il aurait suffi d’ajouter une simple case à cocher « inclure la position » ; tout bloquer complètement est excessif
      Désormais, on ne peut extraire les données qu’avec un câble USB
    • Les données EXIF sont plus puissantes pour l’identification qu’on ne le pense
      À une époque, certains appareils photo enregistraient le « temps écoulé depuis le démarrage de l’appareil », ce qui permettait de remonter jusqu’à un utilisateur précis
    • Il existe même une plaisanterie selon laquelle, si l’on ne connaît pas les métadonnées EXIF, on ne devrait pas utiliser un ordinateur
      C’est un problème si ancien que des séries télé des années 1990 en parlaient déjà

  • Ce changement vise à renforcer la vie privée, mais va aussi à rebours de la vérification de la vérité
    À une époque saturée d’images générées par l’IA, il nous faut des systèmes capables de retracer la provenance d’une image et son contexte de création

  • Le fait que le sélecteur d’images par défaut d’Android supprime aussi les noms de fichiers pose également problème
    À cause de cela, des utilisateurs croient à tort que les applications modifient les noms de fichiers
    Dans le Google Issue Tracker, Google indique qu’il s’agit d’un « comportement intentionnel » et qu’aucune correction ne sera apportée

    • Le sélecteur d’images n’ayant pas d’autorisation d’accès au répertoire, exposer le nom du fichier serait inapproprié du point de vue de la sécurité
      Si l’on veut le nom du fichier, il faut demander l’autorisation d’accès au répertoire
    • Mais cette décision de Google reste étrange
      La plupart des utilisateurs envoient directement les photos prises avec l’application appareil photo par défaut
      Si le problème concerne la localisation ou le nom de fichier, il suffirait d’ajuster les métadonnées dans l’application appareil photo

  • L’approche typique de la « protection de la vie privée » chez des organisations comme Google consiste à empêcher les utilisateurs d’accéder à leurs données, tout en continuant à y accéder elles-mêmes
    Certaines applications de messagerie bloquent aussi les captures d’écran au nom de la « protection des utilisateurs », ce qui revient surtout à limiter les fonctionnalités

    • Facebook fait pareil : il n’exporte que des photos dont les données EXIF ont été supprimées, tout en les exploitant en interne
    • En réalité, ce résultat vient du fait que Chrome ne demande pas les données de localisation
      À partir d’Android 10, une application doit déclarer puis demander l’autorisation ACCESS_MEDIA_LOCATION pour pouvoir lire la position EXIF
      Voir la documentation officielle Android
    • Certaines messageries ne bloquent les captures d’écran que pour les photos à usage unique, ce qui peut se comprendre
      Mais comme il suffit de photographier l’écran avec un autre appareil, cela ne reste qu’une illusion de sécurité
    • J’ai essayé d’enregistrer la recopie d’iPhone sur macOS, mais à cause du DRM, je n’obtenais qu’un écran noir
      Du point de vue des entreprises, cela rassure peut-être, mais l’expérience utilisateur est mauvaise

  • Une plateforme de signalement de pistes cyclables gérée par des bénévoles a été complètement cassée par cette mesure
    Vigilo.city permettait de faire un signalement sans compte, dans une logique ouverte, mais avec la disparition du GPS EXIF, la barrière à l’usage a fortement augmenté
    C’est dommage, car il n’aurait pas été difficile de concevoir un flux expliquant clairement à l’utilisateur qu’il partage sa position

  • Le fait qu’à partir d’Android 11, on ne puisse soudain plus utiliser de caractères spéciaux (:<>?|\*) dans les noms de fichiers est un cas similaire
    La justification avancée était la compatibilité avec Windows, mais comme je n’utilise que Linux, c’est une restriction inutile
    Problème connexe

    • Au fond, ce genre de problème se répète depuis longtemps
      La discussion précédente soulevait déjà les mêmes points
    • Pour ma part, j’uniformise mes noms de fichiers en n’utilisant que des lettres minuscules, des chiffres, des tirets et des points
      Cela m’a permis de réduire les problèmes de synchronisation
    • Certains ont aussi réagi en demandant quel type de fichier on pouvait bien vouloir nommer avec ce genre de caractères spéciaux
    • On peut comprendre que Google définisse ses politiques en pensant surtout aux utilisateurs de Windows et Mac, mais les utilisateurs de Linux sont laissés de côté
    • Utiliser un astérisque (*) dans un nom de fichier est problématique sur pratiquement tous les systèmes d’exploitation

  • On a l’impression que l’application Google Photos cherche à gérer les fichiers image de manière exclusive
    Même si l’on essaie d’ajouter une localisation à une photo retouchée ou à une capture d’écran, il est indiqué que cela « ne s’affichera que dans Photos »
    Si l’on exporte le fichier, la donnée n’est pas enregistrée dans l’EXIF
    Sur Android comme sur iOS, les JPEG/PNG sont traités non comme des fichiers ordinaires mais comme des objets spéciaux, et les métadonnées ne sont stockées que dans la base de données interne de l’application
    Au final, cela fait disparaître l’interopérabilité et crée une dépendance à l’application Photos

  • Au lieu de supprimer complètement la position, il aurait été préférable de brouiller les coordonnées (fuzzing)
    Par exemple, ne publier qu’un seul chiffre après la virgule pour la latitude et la longitude permettrait une précision d’environ 10 km
    Par le passé, j’ai beaucoup réalisé de journaux de voyage ou de projets de visualisation de données fondés sur la localisation, et cela devient désormais presque impossible
    Ironiquement, Google continue malgré tout de collecter la position exacte à des fins publicitaires

    • Mais dans les zones peu peuplées, même une précision de 10 km peut présenter un risque d’identification personnelle
      S’il n’y a qu’une seule maison alentour, il devient aussitôt possible d’identifier la personne
    • Brouiller la position est le pire choix possible, car on y perd à la fois en vie privée et en fonctionnalité
      Une meilleure solution serait d’ajouter au sélecteur de fichiers un attribut du type includeExif et de demander une confirmation explicite à l’utilisateur

  • Cette mesure va dans la bonne direction
    Comme cela a été discuté dans le ticket WHATWG, il serait souhaitable que le navigateur ajoute explicitement une fonctionnalité de gestion des informations de localisation
    En revanche, supprimer la fonctionnalité sans solution de remplacement pose problème

    • Il aurait fallu faire les choses dans l’autre ordre
      D’abord créer une interface permettant l’opt-in/opt-out, puis seulement ensuite changer le comportement par défaut
      En l’état, la tâche elle-même devient impossible
    • Désactiver par défaut les balises de localisation est logique, mais il aurait fallu attendre qu’une alternative soit ajoutée à la spécification standard (WHATWG)