Ring : l’application Android envoie des données sensibles à des tierces parties

© EFF

Les bras nous en tombent (non). Ring, filiale d'Amazon spécialisée dans les « judas connectés », ne limite pas la revente des données utilisateurs à sa maison-mère. En bonne cigale, elle partage d'innombrables informations sur les propriétaires de ses produits à ses partenaires commerciaux.

L'Electronic Frontier Foundation publie une enquête mettant en lumière les différents trackers intégrés à l'application Android de Ring. Une application qui partage sans vergogne des informations non-anonymisées qui permettent l'identification précise des individus qui l'utilisent.

Espionner ses voisins... et soi-même

Particulièrement en vogue aux États-Unis, Ring vend des objets connectés censément destinés à améliorer la sécurité du domicile où ils sont installés. Seulement, en plus de garder une trace — de fait — des allées et venues du voisinage, il s'avère que Ring traque également sans vergogne les utilisateurs·rices de son service.

Pas que les conclusions de l'enquête de l'EFF nous étonnent. Mais le caractère identifiable des données transmises via l'application Android, et la variété des partenaires avec lesquels elles sont partagées, dépassent ce à quoi nous pouvions nous attendre.


En mettant à l'épreuve la version 3.21.1 de l'application Android, l'EFF a découvert que Ring transmettait des PII (informations personnellement identifiables) aux domaines suivants : branch.io, mixpanel.com, appsflyer.com et facebook.com. L'entreprise de Mark Zuckerberg reçoit notamment des données relatives à l'appareil utilisé, aux préférences de langage, à la résolution de l'écran, et un identifiant unique persistant, même en cas de réinitialisation totale de l'appareil. Des informations transmises à Facebook, précise l'EFF, même si vous n'avez pas de compte sur le réseau social.

Facebook reçoit des données même si l'utilisateur·rice ne dispose pas de compte sur le réseau social. © EFF

Des informations très personnelles

Passant en revue les différents trackers intégrés à l'application, EFF donne à voir à quel point certaines de ces données peuvent être sensibles. Branch.io reçoit par exemple la myriade de numéros uniques permettant d'identifier précisément le type d'appareil utilisé, mais également l'adresse IP locale de celui-ci. AppsFlyer est quant à lui friand de toutes les données issues des capteurs des judas connectés comme le magnétomètre, le gyroscope et l'accéléromètre.

De tous les trackers présents dans l'application, c'est MixPanel qui reçoit la palme de l'intrusivité. L'entreprise reçoit le nom complet des utilisateurs·rices, leur email, toutes les informations relatives à l'appareil Android utilisé, l'état de la connexion Bluetooth et le nombre d'endroits où l'usager·ère a installé un appareil Ring. « MixPanel est brièvement mentionné dans la liste des tierces parties avec lesquelles travaille Ring, » précise l'EFF, « mais l'étendue de leur collecte de données ne l'est pas. Aucun des autres trackers dont on parle ici n'est mentionné dans la page ».

Les données transmises à Appsflyer par Ring. © EFF

Et c'est peut-être là le plus inquiétant dans les découvertes de l'Electronic Frontier Foundation. Que Ring aspire les données de ses utilisateurs·rices ne nous étonne guère. Mais que l'entreprise dissimule à dessein le nombre effectif de ses partenaires et l'étendue des données qui leur sont transmises est plus problématique pour la confidentialité des clients. Tout en étant bien évidemment contraire au RGPD européen et au CCPA californien, qui nécessitent que les entreprises aient reçu le consentement éclairé de leur clientèle pour valider la collecte de données.

Ring : un instrument de surveillance de plus en plus problématique

Aux États-Unis, les judas connectés Ring font l'objet d'un intérêt de plus en plus prononcé de la part du gouvernement. En novembre dernier, plus de 600 partenariats entre l'entreprise et des forces de police locales ont été signés, et permettent à ces dernières d'accéder, de conserver, et de transmettre à des tiers tout ou partie des images capturées par ces caméras.

L'application Neighbors permet même à quiconque possède une sonnette vidéo d'uploader ses captures et de les ranger en cinq catégories : crime, sécurité, suspicieux, étranger, visiteur inconnu, ou animal perdu. Une typologie extrêmement connotée, qui « a développé une culture qui est complètement obsédée par le crime et l'autoprotection du voisinage, et dont les utilisateurs ont souvent recours au profilage racial », écrit Vice dans une enquête en trois parties dédiée aux appareils Ring. Une enquête dans laquelle on apprend également que certaines villes américaines offrent des déductions fiscales aux habitants, laquelle est plus progressive en fonction du placement de la caméra. Plus son angle de vision est large et permet de surveiller la rue, plus la ristourne est importante.

Le portail RingTV encourage la clientèle de la marque à publier les images issues de leurs judas connecté. © RingTV

Une paranoïa qui redéfinit dans les grandes largeurs le quotidien des banlieues américaines, où chacun est épié en permanence et où le moindre faux pas peut alerter cette communauté de « voisins vigilants ». Une décomposition du tissu social aussi fascinante que terrifiante, et dont le journaliste français Olivier Tesquet (auteur du récent À la trace) fait la chronique sur Twitter dans un thread fort bien documenté.

Les très intrusives caméras Ring, vues par un développeur d'Amazon, propriétaire de... Ring :

"Ce n'est pas compatible avec une société libre [...] Ring devrait être fermé immédiatement et définitivement."https://t.co/PjMUokwOlG pic.twitter.com/fD6UP5fSmp

— Olivier Tesquet (@oliviertesquet) January 27, 2020

Source : EFF