Mapstr : l'appli de partage d'adresses qui laisse fuiter votre nom et votre géolocalisation

Une attention toute particulière devrait être apportée aux applications qui vous géolocalisent

Publié par Pixel de Tracking le 1 mars 2020

Les applications qui vous géolocalisent : un risque important pour la vie privée

Si le pistage via des sociétés dont vous n'avez jamais entendu parler est généralisé sur le web, il est possible de le limiter :

  • Via un navigateur prenant des mesures de protection comme Safari, Firefox ou Brave
  • Via un adblocker comme ublock origin
  • En bloquant les cookies tiers, ou en supprimant les cookies régulièrement
  • En utilisant la navigation privée

Sur les applications, c'est beaucoup plus difficile, les options existent mais sont difficile à mettre en place (cf. l'installation d'un VPN spécialisé sur iOS). Apple puis Google ont ouvert la boîte de pandore avec leurs AppStore respectifs, permettant aux développeurs d'applications d'accéder à des données très personnelles (géolocalisation, micro, contacts, etc).

Cet accès est très souvent légitime (Instagram a besoin d'accéder à votre appareil photo pour fonctionner, Google Maps est plus utile s'il a accès à votre géolocalisation, etc) et vous avez également le choix d'accepter ou de refuser qu'une application accède à une catégorie de données (exemple : la géolocalisation). Mais vous ignorez sans doute que ces informations peuvent être transmises à des sociétés tierces (via des SDKs, codes de sociétés tierces installés directement dans l'application, équivalent des codes tiers javascript dans les applications web).

Votre géolocalisation est une donnée très sensible, la connaître permet de retracer votre vie : savoir où vous dormez, où vous travaillez, vos déplacements, etc. À ce titre, lisez cette excellente enquête du New-York Times, réalisée à partir d'une gigantesque fuite de données (12 millions d'américains dont Donald Trump) chez un revendeur de données personnelles.

Un exemple avec Mapstr, appli de partage d'adresses

Désirant vérifier comment les applications que j'utilise respectent ma vie privée, j'ai regardé les requêtes envoyées par l'application Mapstr sur mon iPhone. Mapstr est une application française qui me permet de sauvegarder de bonnes adresses de restos et de bars sur une carte, elle me permet également d'accéder aux bons plans de mes amis.

Tout d'abord, auditer les requêtes envoyées par une application n'est pas aussi simple que sur le navigateur d'un ordinateur. J'ai ainsi dû passer par Charles Proxy, une appli payante (9,99€) qui fait office de VPN interne afin intercepter les requêtes envoyées par votre Smartphone. Voici donc le protocole suivi :

  • Fermez les différentes applications en arrière plan
  • Lancez l'application Charles Proxy et activez le suivi
  • Lancez Mapstr et surfez sur l'application
  • Exportez ensuite le log de votre session si vous souhaitez l'étudier avec un meilleur confort sur votre ordinateur (l'appli Charles Proxy pour ordinateur est gratuite en version basique)
  • Regardez les domaines des requêtes envoyées, c'est instructif

tracking_mapstr

Plusieurs surprises:

  • Mapstr envoie de nombreuses requêtes à Facebook (sans ma géolocalisation). Facebook proposant de nombreux services aux applications, il est difficile de connaître le service utilisé par Mapstr (ici les différentes méthodes proposées par la Graph API de Facebook, il semble néanmoins que Mapstr utilise les services Analytics de Facebook, je vois passer des évènements "activities" et "user_properties"). Ma navigation Mapstr vient enrichir les informations que Facebook détient sur moi (même si en l'occurrence, je n'ai pas de compte Facebook). Problème : je n'ai jamais consenti à ce que Facebook me piste sur Mapstr.
  • Mapstr envoie ma géolocalisation à Kapten et à Citymapper, pourquoi ? En creusant dans l'application, je peux demander à Mapstr l'itinéraire vers une adresse, Mapstr va alors indiquer combien de temps prend le trajet en Uber, Kapten ou via Citymapper et Google Maps. Problème : Mapstr envoie ma géolocalisation à ces sociétés sans que je demande l'itinéraire, il pourrait attendre un peu. Il semble néanmoins qu'aucun identifiant soit passé dans ces requêtes, la fuite d'informations est donc limitée (surtout que j'ai bien installé ces applications).
  • Plus grave, Mapstr envoie de nombreuses informations dont ma géolocalisation, mon nom et mon adresse email à Amplitude. Mes données les plus personnelles sont ainsi envoyée avec mon nom à une société américaine avec laquelle je n'ai aucun lien. Quel intérêt pour Mapstr? Amplitude est une solution d'analytics, qui n'a ni besoin de mon nom, ni de mon email, ni de ma géolocalisation pour bien fonctionner.

Notez que j'avais au préalable indiqué dans les réglages iOS que je souhaitais un suivi publicitaire limité (mais Mapstr n'en tient pas compte).

suivi_publicitaire_limité

Pour transmettre toutes ces données personnelles, Mapstr a besoin de mon consentement, ce qu'il semble avoir oublié.

La gestion du consentement sur Mapstr

Lorsque vous installez l'application Mapstr, vous êtes accueilli avec cet écran

Accueil_Mapstr

En tout petit, vous pouvez lire : "En vous inscrivant vous acceptez nos Conditions d'Utilisation". Évidemment personne ne va cliquer dessus, néanmoins on peut y lire ceci :

Mapstr se réserve le droit de collecter différentes données nominatives et non nominatives, notamment par le biais de collecte de cookies, dans une démarche d’amélioration de l’expérience client et de l’ergonomie sur L'application et les Services, d’analyses statistiques et de personnalisation des Services.

Il est ici question d'analytics et de données nominatives. Mais Mapstr ne précise pas qu'il envoie ces données nominatives à un tiers (Amplitude), et qu'il lui envoie aussi votre géolocalisation.

Une fois que vous avez créé un compte, vous pouvez accéder à la politique de confidentialité, écrite en anglais. Il est indiqué que :

  • Mapstr utilise entre autres vos données à des fins de statistique ("to carry out statistics)" et pour améliorer son application ("to improve our service").
  • La base légale est l'acceptation des fameuses Conditions d'Utilisation.
  • Les données collectées listées sont les suivantes : "your name, surname, possibly your Facebook username, profile picture, friends’ name, as well as your language and country." En réalité vous transmettez à Mapstr et Amplitude de nombreuses autres informations et notamment votre géolocalisation, (mais aussi votre opérateur téléphonique, votre modèle de Smartphone, etc).
  • Qui est le récepteur de vos données? Ici encore Mapstr est très vague, n'indiquant toujours pas qu'il transmet certaines informations personnelles à des tiers : "We do not resell your personal data. The business model of the Mapstr application is by no means based on the sale of your personal data to third parties. In this respect, the only persons authorized to use your data are Hulab employees as part of your use of the Mapstr application"
  • Est-ce que vos données sont transférées en dehors de l'Union Européenne ? Ici le mensonge est net, Mapstr indique ne pas transmettre vos données en dehors de l'Union Européenne : "None of your data is transferred outside the European Union and our servers are located within the territory of the EU." Facebook et Intercom sont des sociétés américaines.

S'agit-il de négligence de la part de Mapstr ? C'est probable mais en l'absence de sanctions de la CNIL, la pression pour respecter la vie privée des internautes est faible. Que se passe-t-il sur d'autres applications qui ont besoin de votre géolocalisation ?

Un autre test avec Citymapper

Suite au test de Mapstr, j'ai voulu regarder comment Citymapper gérait mes données personnelles, utilisant l'appli régulièrement pour mes déplacements. Via Charles Proxy, voici les domaines des requêtes envoyées

requêtes_citymapper

Plusieurs traceurs sont encore présent :

  • Crashlytics permet de monitorer les bugs et crashs d'application, cet outil appartient à Google (qui l'avait racheté à Twitter)
  • Google, pour son service Google Maps
  • Amplitude, l'outil d'analytics déjà vu chez Mapstr
  • Mixpanel est un outil d'analytics similaire à Amplitude
  • Flurry est un autre outil d'analytics, qui appartient à Yahoo (et donc à Verizon)

Ces sociétés vous pistent également lorsque vous utilisez Citymapper, sans votre consentement. Néanmoins, lorsque l'on regarde le détail des requêtes envoyés (en particulier vers Amplitude), Citymapper n'envoie pas votre géolocalisation, votre nom ou votre adresse email. "Détail" gênant, Citymapper envoie un événement "In Drunk Mode" à Mixpanel et Amplitude (ils afficheraient le bouton rentrer à la maison plus gros si vous avez trop bu) :

Citymapper_Mixpanel_Drunk_mode L'événement envoyé à Mixpanel, les identifiants personnels ont été supprimés, et je ne suis pas bourré.

Comment font-ils ? Peut-être est-ce juste basée sur l'heure, mais il n'est pas rassurant d'envoyer cette information à des sociétés tierces.