Suivi de localisation via la publicité intégrée aux apps : tout le monde connaît ma position

 (timsh.org)
5 points par GN⁺ 2025-02-03 | 1 commentaires | Partager sur WhatsApp
  • Plus de 2 000 applications trouvées sur l’App Store et Google Play présentent des indices de collecte de données de localisation sans consentement de l’utilisateur
  • L’auteur de cet article a acheté lui-même ce type de données de localisation pour tester s’il pouvait se suivre à la trace
  • Il conclut que les adresses IP et les données de localisation fuient un peu partout, et qu’une énorme quantité d’informations utilisateur circule via des protocoles publicitaires comme OpenRTB
  • En revanche, acheter réellement ces données demande des budgets de plusieurs dizaines à plusieurs centaines de milliers de dollars, avec des données d’utilisateurs européens particulièrement chères
  • Malgré cela, l’expérience confirme une nouvelle fois qu’il est possible d’en acheter pratiquement partout

Point de départ

  • Un iPhone 11 de test a été réinitialisé aux paramètres d’usine puis configuré avec un nouvel identifiant Apple
  • Pour analyser le trafic réseau, Charles Proxy et un certificat SSL ont été installés afin de déchiffrer les requêtes HTTPS
  • Comme application d’exemple, un petit jeu simple appelé « Stack » a été lancé, déclenchant en très peu de temps de nombreuses requêtes publicitaires et analytiques

Un volume massif de requêtes

  • Une minute après le lancement de l’application, un nombre énorme de requêtes réseau avait déjà été observé
  • Chaque requête contenait divers types de données, notamment la localisation, l’adresse IP, les identifiants publicitaires et des détails sur l’appareil
  • En les examinant une à une, il est apparu que des informations sensibles étaient envoyées à de multiples destinations même sans consentement explicite de l’utilisateur

Unity [ads]

  • Quand le SDK Unity Ads est intégré à une application, il envoie à des serveurs Unity plusieurs informations, dont la localisation et l’adresse IP
  • Des éléments comme ifv (ID For Vendor), la localisation lors d’une connexion Wi‑Fi (longitude et latitude) et des horodatages sont collectés
  • Comme Unity travaille avec des sociétés DSP telles que Moloco Ads, ces informations sont également transmises à des tiers au cours du processus d’enchères publicitaires

Pourquoi Facebook apparaît-il ?

  • Même sans avoir installé la moindre application liée à Meta ou Facebook, l’adresse IP et l’horodatage sont envoyés à Facebook dans les communications publicitaires intégrées à l’app
  • Si Facebook identifie, par d’autres canaux, le compte utilisant cette même IP, il devient très probable qu’il puisse relier ces données à l’historique d’usage des services Meta
  • L’utilisateur n’en est pas correctement informé à l’avance, et il n’existe en pratique aucune véritable procédure de consentement

Pourquoi ont-ils besoin de la luminosité de l’écran ?

  • Unity Ads demande des informations sur l’état de l’appareil, comme la luminosité de l’écran, l’état de la batterie, la quantité de mémoire ou la connexion d’un casque
  • Ces données pourraient être détournées pour de la publicité ciblée ou des propositions tarifaires dynamiques
  • Comme dans la rumeur selon laquelle Uber ajusterait ses prix selon l’état de la batterie, cela reste techniquement possible

Comprendre les identifiants

  • ifv (ID for Vendor) est un identifiant attribué à l’échelle de l’éditeur de l’application
  • advertisingTrackingId (IDFA) est un identifiant permettant de suivre un même utilisateur à travers plusieurs apps
  • Quand on active le refus du suivi, l’IDFA prend la forme « 0000… », mais l’IP et divers autres identifiants continuent malgré tout d’être transmis, ce qui permet en pratique un suivi contourné

La différence selon que l’on autorise ou non le suivi

  • Que le suivi publicitaire soit « autorisé » ou « refusé », la localisation, l’IP et les informations de navigateur continuent d’être transmises
  • La seule différence est que l’IDFA n’est pas exposé, alors qu’il existe suffisamment d’autres éléments identifiants pour reconnaître potentiellement un même utilisateur
  • Des plateformes comme Facebook ont la capacité d’identifier indirectement un utilisateur à partir de son IP

Comment circulent les données ?

  • Les données sont transmises dans l’ordre app → Unity [ads] → Molocoads → annonceur (Bwin, etc.)
  • Une SSP (Supply-Side Platform) comme Unity collecte les données via le SDK intégré à l’application, puis une DSP (Demand-Side Platform) comme Molocoads effectue les enchères publicitaires sur cette base
  • Au cours de cette chaîne d’intermédiation, de nombreux courtiers, et pas seulement les annonceurs, peuvent obtenir des données de localisation et des informations sur l’appareil

Courtiers en données

  • Sur le marché, des acteurs comme Datarade ou Databricks commercialisent des données de localisation utilisateur fondées sur le MAID (identifiant publicitaire mobile)
  • Des entreprises comme Redmob vendent même des données de localisation en temps réel, mises à jour en moins de 5 secondes
  • AGR Marketing Solutions et d’autres proposent aussi des données reliant MAID et véritables PII (informations personnellement identifiables), avec nom, adresse et numéro de téléphone

Se suivre soi-même directement

  • On installe des applications afin que des données de localisation soient collectées au quotidien
  • Les sociétés publicitaires ou les courtiers récupèrent des données combinant IP + localisation + identifiant publicitaire
  • Ensuite, on achète un jeu de données MAID <> PII pour relier à son identité réelle son propre IDFA ou son IP
  • Au final, un utilisateur peut acheter et recouper ses propres données de localisation pour se suivre lui-même

Conclusion

  • Les transactions de données dans l’écosystème publicitaire mondial peuvent sembler légales si l’on observe chaque étape isolément, mais prises dans leur ensemble, elles constituent une atteinte grave à la vie privée
  • Ce problème a récemment refait surface à la suite de fuites massives impliquant notamment Gravy Analytics
  • Refuser le suivi publicitaire ne garantit pas une protection complète
  • Il reste très difficile pour les utilisateurs de savoir où vont leurs données et comment elles circulent lorsqu’ils utilisent des applications

À lire aussi

1 commentaires

 
GN⁺ 2025-02-03
Avis Hacker News

  • Les coordonnées peuvent être facilement revendues, ce qui pose un problème de confidentialité. Si l’on partage ses contacts avec des applications comme TikTok, des informations comme le nom, le numéro de téléphone et l’adresse e-mail peuvent fuiter. Quand il y avait un problème avec le service client, une méthode consistait à acheter les coordonnées de dirigeants pour les contacter directement. Cela peut toutefois avoir des effets secondaires, comme la fermeture d’un compte CashApp

  • Les articles sur la vie privée manquent souvent de détails techniques ou exagèrent. Il existe une étude de Mozilla sur les politiques de confidentialité des voitures, mais les véritables détails techniques manquent. Par exemple : est-ce que la voiture enregistre les conversations, où les données sont-elles stockées, sont-elles transmises à des tiers ? Sans ces précisions, ces articles risquent surtout d’alimenter la méfiance

  • J’utilise Bilt pour payer mon loyer, et chaque fois que je fais des achats chez Walgreens, je reçois le ticket de caisse par e-mail. J’aimerais que les articles sensibles en soient exclus. Je me demande comment les données passent de Walgreens à la société de location, mais il vaudrait peut-être mieux utiliser des espèces ou un chèque certifié

  • Il est intéressant de voir que les personnes du secteur IT ont construit l’industrie de la publicité, de la vente de données personnelles et du suivi, tout en étant aussi celles qui s’en plaignent le plus

  • Des informations comme la luminosité de l’écran, la quantité de mémoire, le volume actuel ou le fait de porter un casque peuvent servir à désanonymiser un utilisateur

  • L’affirmation selon laquelle le LTE fournirait une localisation plus précise est incorrecte. Une application ne peut pas obtenir les informations cellid sans autorisation de localisation. Les applications gratuites prétendent collecter une position précise, mais en réalité ce n’est pas exact

  • Certains craignent que les plateformes d’échange publicitaire finissent par trouver un moyen d’effectuer un suivi inter-apps même sans IDFA. En théorie, c’est interdit, mais en pratique c’est difficile à faire respecter

  • L’application Reddit n’a pas d’autorisation sur mon téléphone, mais elle me recommande quand même des communautés en fonction de ma localisation. J’en ai eu dans chaque ville visitée pendant mes voyages

  • Il est recommandé d’éviter d’utiliser des applications mobiles quand un site web peut faire l’affaire