Des applications volent illégalement les données personnelles des enfants


Certains d’entre nous commencent à peine à se rendre compte de toutes les façons dont des entreprises comme Facebook et Google utilisent nos données pour gagner de l’argent. Mais légalement, les enfants sont censés en être exemptés. En vertu de la Child’s Online Privacy Protection Rule (COPPA), les applications ne peuvent pas stocker ou suivre des informations inutiles, telles que des données de localisation ou des informations de profilage pour les annonceurs, chez les enfants de moins de 13 ans.

Mais des recherches récentes ont identifié des milliers d’applications sur le Google Play Store qui pourraient être en violation de la COPPA, toutes certifiées conformes à la COPPA par Google.

La plus grande violation, affirment les chercheurs, ne vient souvent pas des développeurs d’applications eux-mêmes ; les sociétés d’analyse tierces exploitent les failles sans passer par les canaux appropriés pour rapporter le type de données qu’elles collectent.

Prenons, par exemple, le développeur BabyBus, qui a produit d’innombrables jeux mobiles pour les enfants de moins de six ans, dont “Baby Panda Care”, “Little Panda Restaurant” et “Toilet Training – Baby’s Potty”. BabyBus ne collecte pas les données de localisation via le système de permissions Android habituel, donc c’est clair en ce qui concerne COPPA. Cependant, la société avait transmis des listes de réseaux WiFi sauvegardés et des points d’accès à TalkingData, une société d’analyse avec laquelle BabyBus n’est plus partenaire. Il est possible que certains de ces développeurs partagent de l’information sans le savoir, notent les chercheurs, car parfois ils ne savent tout simplement pas combien il y en a (les développeurs sont toujours légalement responsables).

Les conséquences sont lourdes pour les entreprises qui violent la COPPA ; la Federal Trade Commission a infligé une amende de 450 000 $ à Yelp pour avoir agi de la sorte en 2014.

Mais il est étonnamment difficile pour les organismes de réglementation d’identifier les fraudeurs. La seule façon de savoir si une application stocke illégalement des données est simplement de scanner son code source et de chercher les drapeaux rouges.

C’est un travail subalterne et fastidieux. C’est pourquoi, dans la plupart des cas, l’industrie s’est appuyée sur l’auto-réglementation. Mais il y a des raisons de croire que cela ne fonctionne pas très bien.

Pour comprendre l’ampleur du problème, l’équipe d’informaticiens a créé un logiciel qui exécute chacune des 5 855 applications populaires pour enfants pendant dix minutes, en interagissant avec chaque application comme une personne typique et en gardant la trace de toutes les données qui ont été transmises ou stockées dans le processus.

L’équipe a rapidement trouvé des résultats troublants : plus de la moitié des applications testées violaient la COPPA d’une manière ou d’une autre et environ 2 200 d’entre elles utilisaient des identificateurs permanents qui pouvaient mener à des publicités ciblées.

Les chercheurs n’ont pas regardé l’app store d’Apple, de sorte que le problème pourrait être tout aussi répandu là-bas.

La bonne nouvelle ? Ce même outil pourrait être utile pour les organismes de réglementation qui s’efforcent d’identifier et de pénaliser les entreprises qui enfreignent la loi.

Bien que les chercheurs soulignent dans leur document qu’ils ne sont pas des avocats et ne peuvent trouver que des violations possibles, ils ont également publié leurs outils et leurs ensembles de données afin que Google et d’autres organismes de réglementation puissent s’y attaquer.

Source : Futurism


Vous aimerez aussi...

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *