La nouvelle section « Sécurité des données » du Play Store de Google divise les experts de la protection de la vie privée.
À partir d’aujourd’hui, les applications disponibles sur le Google Play Store devront obligatoirement fournir des informations sur leurs pratiques en matière de collecte et de partage des données, qui seront répertoriées dans la nouvelle section Sécurité des données. Cependant, comme certains l’ont remarqué, Google s’attend désormais à ce que les gens fassent confiance à ces considérations de confidentialité fournies par les développeurs au lieu de l’ancienne liste d’autorisations de confidentialité générée par Google.
« Nous savons que pour susciter l’intérêt des utilisateurs, les systèmes logiciels eux-mêmes doivent inspirer confiance, et tout effort en ce sens de leur part est sapé par une boutique d’applications qui présente l’auto-divulgation comme sa politique », a déclaré Vuk Janosevic, PDG du fournisseur de logiciels de protection de la vie privée, Blindnet, par courriel. « Si les développeurs doivent auto-déclarer les données qu’ils collectent et à quelles fins, la question devient : que va faire Google pour garantir la conformité et l’exactitude ? ».
Comment résoudre le problème de l’attente de téléchargement du Google Play Store
Ouvert aux abus
Google a commencé à déployer la section sur la sécurité des données en mai, en la présentant comme un moyen de donner aux gens plus de visibilité sur les politiques de collecte de données des applications répertoriées. Google n’est pas le premier à faire cela, Apple a mis en place quelque chose de similaire en décembre 2020.
La nouvelle section indique exactement quelles données une application collecte et divulgue celles qu’elle partage avec des tiers. Elle détaille également les pratiques de sécurité de l’application et les mécanismes de sécurité utilisés par ses développeurs pour protéger les données collectées et indique aux utilisateurs s’ils ont la possibilité de demander au développeur de supprimer les données collectées, par exemple lorsqu’ils cessent d’utiliser l’application.
Toutefois, non seulement Google fait confiance aux développeurs pour fournir des informations précises, mais il supprime également l’ancienne liste d’autorisations d’applications générées automatiquement. L’accent mis sur les détails fournis par les développeurs ne convient pas à certains experts de la protection de la vie privée.
« De nos jours, les consommateurs se méfient profondément des systèmes en ligne », a déclaré M. Janosevic. « Les entreprises, et leurs applis, doivent faire un effort supplémentaire pour prouver qu’elles ne sont pas des méchantes et gagner la confiance de leurs clients. »
Janosevic convient que ce changement ouvre la possibilité aux développeurs de déformer leurs intentions et de collecter plus de points de données sur leurs utilisateurs qu’ils ne le prétendent.
« Mais je pense que la question plus importante en jeu ici est que tout échec de la part de Google à réglementer et à appliquer ces règles et à rendre publique cette conformité menace finalement d’éroder la confiance des utilisateurs dans le marché et les applications qui y sont répertoriées », opine Janosevic.
La bonne méthode
Jeff Williams, directeur technique et cofondateur de Contrast Security, a déclaré que le passage aux labels de confidentialité auto-attestés est plus important que la suppression de la liste des autorisations.
« C’est la meilleure façon d’équilibrer les intérêts des consommateurs et des producteurs de logiciels sur le marché des logiciels », a déclaré M. Williams par courriel. « Je pense que cela, ainsi que d’autres efforts comme les labels de sécurité logicielle utilisés à Singapour et en Finlande, sont vraiment importants. »
Faisant l’éloge du passage aux étiquettes de style nutritionnel, Williams fait valoir que la grande majorité des utilisateurs n’ont pas prêté beaucoup d’attention à la liste souvent cryptique des autorisations, et que des étiquettes plus simples sont plus efficaces pour façonner les choix des utilisateurs, comme cela a été observé sur divers autres produits.
M. William compatit avec les personnes qui souhaitent que Google répertorie automatiquement les autorisations d’une application, mais il estime qu’il est très peu probable que le nouveau système fasse l’objet d’abus. Selon lui, toute personne qui triche risque d’être interpellée ou bannie, car il n’est pas difficile de découvrir des anomalies.
« Cette mesure ne change rien au fait que les utilisateurs recevront des pop-ups pour autoriser les applications à utiliser des autorisations dangereuses », a expliqué M. Williams. « Toute personne qui s’en soucie vraiment peut toujours obtenir ces informations ».
En outre, il a souligné que le nouveau système permet toujours des examens par des tiers, en pointant spécifiquement la norme de vérification de la sécurité des applications mobiles (MASVS) de l’OWASP, qui peut vérifier en profondeur les applications en tenant compte de plusieurs aspects de sécurité au-delà de leurs autorisations.
« Peut-être qu’un jour nous aurons des labels tiers provenant d’une source fiable, peut-être Google, peut-être quelqu’un d’autre [intégré au Play Store] », a déclaré M. Williams. « Mais pour l’instant, je salue un grand label qui aidera les gens ordinaires à comprendre comment les apps qu’ils utilisent protègent leurs données. »