Oui, Google récupère vos données sans votre consentement sur votre smartphone Android

Nathan Le Gohlisse
Spécialiste Hardware
23 mars 2022 à 15h30
42
Android

Vous pensiez que vos données étaient bien gardées sur votre smartphone Android et que jamais Google ne se livrerait à des indiscrétions ? Et bien, vous aviez tort. Un chercheur en informatique du Trinity College de Dublin a découvert que le géant de Mountain View utilise les applications Téléphone et Messages d'Android pour récupérer des données importantes… sans accord de l'utilisateur et en toute discrétion.

Google risque de buter une nouvelle fois sur les lois européennes en matière de protection des données. The Register nous rapporte cette semaine que les applications Téléphone et Messages d'Android collectent et envoient des données à Google, sans en avertir l'utilisateur ou lui demander son consentement préalable. Ce partage de données se fait par ailleurs sans qu'il soit permis à l'utilisateur de le désactiver, par le biais d'un réglage par exemple.

Android filoute avec vos appels et SMS

Ces informations proviennent de travaux menés par le professeur Douglas Leith, chercheur en informatique au sein du prestigieux Trinity College de Dublin. Sobrement intitulée Quelles données les applications Google Dialer et Messages sur Android envoient-elles à Google ?, son étude révèle qu'au travers des applications Google Téléphone et Google Messages, des données relatives aux communications des utilisateurs ont été transmises aux services Play Services Clearcut et Firebase Analytics de Google.

Douglas Leith en dit plus sur la nature des données partagées vers les services internes de Google. On apprend qu'elles comprennent notamment « un hachage de texte du message, ce qui permet de relier l'expéditeur et le destinataire dans un échange de SMS », tandis que celles provenant de l'application Téléphone « comprennent l'heure et la durée de l'appel, ce qui permet de relier les deux appareils engagés dans un appel téléphonique ». « Les numéros de téléphone sont également envoyés à Google », ajoute le chercheur.

Pour rappel, les applications Messages et Téléphones sont installées par défaut sur l'ensemble des appareils Google Pixel, mais aussi sur la plupart des mobiles Android récents. Il s'agit donc dans les deux cas d'applications largement répandues… et aucune des deux n'explique clairement quelles données sont collectées en les utilisant.

Ces deux applications émanant de Google n'appliquent donc pas les règles que Google impose pourtant aux applications provenant de développeurs tiers.

Android 12 © sdx15 / Shutterstock.com
Android 12 // © Google

Google admet, et assure vouloir arranger les choses

Contacté par The Register à propos de ces découvertes, Google a indiqué que les informations partagées par Douglas Leith étaient justes. « Nous accueillons les partenariats - et les réactions - des universitaires et des chercheurs, y compris ceux du Trinity College », a indiqué un porte-parole du groupe. « Nous avons travaillé de manière constructive avec cette équipe pour répondre à ses commentaires, et nous continuerons à le faire », a-t-il ajouté.

Douglas Leith se montre toutefois assez circonspect sur les modifications que Google se propose d'apporter. « Ils promettent d'introduire une option dans l'application Messages pour permettre aux utilisateurs de refuser la collecte de données, mais que cette option ne couvrira pas les données que Google considère comme "essentielles", c'est-à-dire qu'ils continueront à collecter certaines données même si les utilisateurs refusent », explique-t-il.

« Dans mes tests, j'avais déjà choisi de ne pas accepter la collecte de données pour Google, en désactivant l'option "Utilisation et diagnostics" dans les paramètres de l'appareil, et les données que j'ai communiquées étaient donc déjà considérées comme essentielles par Google. »

Autre motif d'inquiétude pour le chercheur : l'anonymisation de ces données collectées et partagées vers Google n'est visiblement pas au rendez-vous. « Les données de connexion envoyées par Google Play Services sont marquées de l'identifiant Google Android, qui peut souvent être associé à l'identité réelle d'une personne - les données ne sont donc pas anonymes », ajoute-t-il.

Pour faire court, Google n'est visiblement au point avec le RGPD qu'en façade.

Source : The Register

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
42
33
Baxter_X
Honnêtement… Ça étonne quelqu’un ici?
fredolabecane
Google qui récupère des données perso à notre insu! dites moi pas qu’c’est pô vrai!
MqcdupouletBasquez
Que n’aurait on entendu s’il avait s’agit d’une news Apple !?
Popoulo
Les plus étonnant dans l’histoire, c’est que certains soient… étonnés.<br /> @MqcdupouletBasquez : parce que vous les croyez blancs comme neige ? ^^
MqcdupouletBasquez
Ah pas du tout !!<br /> Mais le traitement de l’information en commentaire est sensiblement différent !<br /> Ici, c’est un amusement et source de plaisanteries.<br /> Chez Apple, on pourra bien voir des photos de pigeons, de moutons et des commentaires acerbes sur la marque et leurs utilisateurs ainsi que des profondément étonnés et appelant à changer de marque, à philosopher sur la nature profonde de ces entreprises etc…
Morak
Ca fait un moment que je n’utilise plus leurs applis Téléphone et Messages. Pour sûr ils conservent toutes les données.<br /> Bon, après avec les apps de samsung, pas sûr qu’ils n’en fassent pas autant.<br /> Une seule solution : LineageOS. Mais ça fait un peu iech de mettre du LOS sur un S20FE.
DakJim
quelle alternative aux applications Téléphone et Messages ?
Felaz
C’est en effet peu étonnant, c’est la principale raison qui m’empêche de basculer sur Android (avec les malwares &amp; co) malgré tout le bien que je pense d’un OS « ouvert »
Baxter_X
Et du coup êtes sur Apple?
Felaz
Oui mais je ne dis pas que c’est « beaucoup » mieux hein
Biggs
Je relance la question de mon VDD @Jacques Dim : quelle(s) alternative(s) à Téléphone et Messages ?
tfpsly
Biggs:<br /> quelle(s) alternative(s) à Téléphone et Messages ?<br /> Apps phones sur Google Play<br /> Apps SMS sur Google Play
cid1
Google récupère des données sans notre consentement, bande de pirates
jeanlucesi
Google c’est la CIA .
Bombing_Basta
Quelles autorisations demandent ces applications ?<br /> Je préfère encore que ce soit google ou apple qui me pompent.<br /> Même si aucun ne me pompe vu que je suis sur Ubuntu Touch
Bombing_Basta
Et Apple c’est qui ?<br /> Vaut-il mieux aller chez huawei ou autre marque chinoise et se donner à ci-gît l’pig ?<br /> Ah et bien sûr j’allais oublier, et elles sont où les preuves sourcées ?
AtomosF
On le sait depuis Android 1.0 non ? Google gagne de l’argent grace aux data, depuis toujours.
Cmoi56
Et ce n’est sûrement pas tout… qui n’a pas reçu des pubs sur un sujet de conversation entre 2 personnes et alors que le téléphone est inactif?<br /> Chez moi c’est régulier, dernier exemple on parlait de la véranda du voisin, le lendemain toutes les pubs étaient sur des vérandas… et si ce n’était qu’un cas…
MattS32
MqcdupouletBasquez:<br /> Mais le traitement de l’information en commentaire est sensiblement différent !<br /> Ici, c’est un amusement et source de plaisanteries.<br /> Parce que chez Google, on sait depuis longtemps que c’est le cas, et que c’est la contrepartie à une gratuité des services. Et en plus les applications en question peuvent être remplacées par d’autres (perso j’utilise depuis longtemps MySMS pour les SMS et Orange Téléphone pour les appels)<br /> Chez Apple, tu as rien en contrepartie, tu payes les services… Et tu ne peux pas remplacer ces applications de base.
ddrmysti
@MqcdupouletBasquez ca me rappelle les news concernants les règles de consentement qu’apple a imposé et qui ont suscités de vive critique envers la pomme, parce que apparemment, les gens aiment être tracés (bon par google hein, tu crois pas que ceux qui reprochent des trucs à apple utilisent leurs produits).
yabadabado
android est une veritable passoire en securité alors je ne vous racontre pas pour tout le reste…
tfpsly
Aucune idée.<br /> Et pareil je préfère rester sur l’original.
svenos
il est surtout temps d’arrêter les smartphones qui polluent la nature et le cerveau humain.
Fatima
Pour ceux qui sont sur Android ou même iPhone<br /> Vous pouvez utiliser l’application Blokada pour bloquer les sorties vers ces sites et autres pisteurs…<br /> Attention la version du store autorise les services Google , prenez celui du site .
wackyseb
Évidemment. Ceux qui savent sont chez Apple et ceux qui pensent savoir sont chez Google !!!<br /> C’est de l’humour hein - pas taper - je suis déjà loin<br /> Kamoulox en 2 coups je recule d’1 et je prends 3!!!
ptitepuce
Pour les SMS j’utilise QKSMS<br /> Dispo sur Fdroid, playstore, et Aurora Store.<br /> Pour les appels en revanche, j’utilise l’application native de Huawei, qui permet le blocage des numéros, pas trouvé d’alternative convaincante, mais je n’ai pas cherché à fond.<br /> Et pour un minimum limiter les dégâts (même si ça ne fait pas grand chose je suppose), j’utilise le bloqueur de pubs, personalDNSfilter (dispo sur fdroid).<br /> Permet d’avoir le DoT, des DNS alternatifs, et évidemment choisir nos blocklists, en plus d’être léger.<br /> Et j’ai viré toutes les applis natives de Google (y compris play store), et quasi toutes celles de Huawei, via adb.
bmustang
ça va faire très mal au porte-monnaie de google cette affaire et j’espère bien très lourdement ! y’en a marre de google qui fait tout dans le dos des utilisateurs et se donne des allures de blanche neige. j’ouvre les enchères pour l’amende à 1,4 milliards d’euros
CowboyBebop
Ne sois pas si pathétique… Quand tu fais un appel, un sms, surtout vers l’étranger… L’ensemble des opérateurs enregistrent les numéros appelés / appelants / durées / textes des sms durant des années… Ils ont l’historique…<br /> Tu peux utiliser tout ce que tu veux… Même Pigeon SMS Voyageur Numérique… L’ensemble transite par le réseau dans des paquets selon les standards normalisés par l’organisation international du télécom !!!<br /> Toutes tes babioles que t’as cité ne sont que des applis développés par des inconnus qui se plient à ces standards…
flodousse
Si on veut la sécurité des données, il faut aller sur jolla et pas ios/android.<br /> Le butin est trop grand pour ces entreprises. On laisse pas un trésor sur le bord de la route.
gothax
Je trouve aberrant que nous sommes encore a nous demander quoi faire ?<br /> Nous avons accepté d’avoir deux entreprises (uniquement deux) pour piloter nos smartphones. Que nous mettons toutes et tous nos vie dans ces engins. Et que tout part dans les serveurs d’un seul pays.<br /> Soient nos institutions réagissent via une volonté citoyenne de changer cela soit nous serons encore dans 10 ans a mettre du sparadrap sur une fracture ouverte.<br /> Même si j’ai lineageOS je ne suis pas dupe que certaines info partent.<br /> Je suis dépité
ptitepuce
Beaucoup de blabla, mais aucune source comme d’habitude !!<br /> Entre l’imaginaire, la volonté de rabaisser les gens, et des sources concordantes et sérieuses, il y a un sacré fossé !
yam103
J’utilise Simple Dialer, application tout bête pour l’utilisation que j’en ai de toute manière, et<br /> pour les SMS, c’est sans hésiter Silence. Si le correspondant utilise cette application, alors il est possible de chiffrer les SMS, qui sont ensuite chiffrés et déchiffrés à la volée.
tfpsly
En y repensant un peu : est-il possible que ces logs soient collectés non pas par les apps elles-mêmes, mais par une/des sous-couche(s) implémentant les appels et SMS, utilisées par toutes les apps similaires? Auquel cas remplacer ces apps n’y changerait rien.<br /> Je viens de voir que l’article source a été mis à jour avec une réponse de Google :<br /> In a follow-up comment two days after this story was published, a Google spokesperson said the data was collected for diagnostic purposes:<br /> We’re committed to compliance with Europe’s privacy laws and apply strict privacy protections to data collected via our Dialer and Messages apps.<br /> Both Dialer and Messages use limited amounts of data for highly specific purposes that allow us to diagnose and resolve product functionality issues and ensure message delivery is consistently reliable.<br /> These technical logs are not – and were never – used for targeting ads and were protected by strict internal access controls. Phone numbers and hashed SMS related data within Messages were only used in technical logs to debug app service issues. Phone numbers that were not saved in a user’s contact list are only used by Dialer to guard users against unwanted spam calls.<br />
Mandolin-Kid
Je ne comprends pas « Et bien, vous aviez tort » : qu’est-ce que ça veut dire, « et puis bien » ? Par contre, je connais « eh bien », qui est une interjection, non une conjonction de coordination. Sinon, je ne suis pas étonné de la collecte d’infos, mais est-ce ça change vraiment quelque chose pour moi ? La pub, je la mets toujours à la poubelle.
gnouman
La différence est que Apple lui se met en défenseur de tes données. Google lui a toujours clairement utiliser ces données à des fin commerciale.<br /> Voilà la différence…
Morak
Alors soit tu as la possibilité de flasher une custom ROM type LineageOS ou AOSP (et sans flasher le package gapps (google apps) full, qui inclut google dialer et google message mais disons core/basic) et dans ce cas ben tu auras réduit au max tout ce qui tourne autour de google (hormis les services requis pour utiliser le play store mais bon ça va).<br /> Soit si tu peux pas, et faut trouver des applis sur le playstore ou fdroid. Déjà pour les SMS, tu peux tester Signal, qui est éprouvé en matière de vie privée. Signal peut devenir l’app par défaut pour les SMS (en plus d’être une messagerie de type whatsapp).<br /> Enfin pour le dialer c’est un peu plus compliqué. Je n’ai pas à ma connaissance de dialer spécialisé dans la vie privée et garder Google Dialer est un mal contre un pire ? A voir.
MattS32
Morak:<br /> Enfin pour le dialer c’est un peu plus compliqué. Je n’ai pas à ma connaissance de dialer spécialisé dans la vie privée et garder Google Dialer est un mal contre un pire ? A voir.<br /> Perso j’utilise le dialer de mon opérateur. Vu que de toute façon, mon opérateur connait déjà tous les détails de mes appels, qu’il les récupère en plus via le dialer ne change rien pour moi ^^<br /> Après, je suppose que les opérateurs ne proposent pas forcément tous leur propre dialer.
Philmarc94
C une plaisanterie ?
Biggs
Et sinon est-ce que quelqu’un connaît une appli pour les SMS qui propose, comme Messages de Google (ou Whatsapp), une version web sur ordi ?
MattS32
MySMS, mais la version gratuite impose une signature « via mysms.com » dans les messages envoyés.
ares-team
Et c’est seulement Huawei qui se fait sanctionner.
Maspriborintorg
Je n’utilise plus un smartphone (Yotaphone 3B+) sous Androïd mais un téléphone mobile CAT B40 (de Caterpillar). Il a son propre système d’exploitation qui ne se mets pas à jour. C’est un téléphone à touches physiques, qui est fait pour travailler sur chantier, il supporte des chutes sur béton de 1.8 m, est étanche jusqu’à 1.8 m. Utilisable de -25 à + 55 °C, supporte poussière et sable. Il a un appareil photo, et des applications d’origines: messagerie SMS et MMS, fonction réveil, calculatrice, agenda. Il ne peut pas charger des applications contrairement à Androïd et Apple, donc pas de messagerie qui nécessitent une adresse mail.
yam103
En aillant le smartphone pas loin, c’est faisable avec Airdroid. L’application contrôle tout sut le smartphone, y compris les SMS, via une interface web.
MattS32
CowboyBebop:<br /> Pour internet, le FAI, quand tu télécharges les fichiers, c’est FAI qui télécharge sur ses serveurs de stockage avant te transmettre les fichiers, ils ont l’historique d’où viennent les données et par qui ils étaient téléchargés.<br /> Ça c’était vrai il y a 20 ans, quand le FAI avait un serveur proxy avec cache. Aujourd’hui, c’est faux, à part en entreprise, on passe quasiment toujours par une connexion directe sans proxy. Les FAI vont pas s’amuser à stocker des Po de données… Surtout qu’aujourd’hui avec la généralisation du chiffrement, ce stockage ne peut même pas servir de cache pour soulager les points de peering : lorsque je télécharge en HTTPS un fichier, le flux qui passe n’est pas le même que quand tu télécharge en HTTPS ce même fichier, le chiffrement étant fait à chaque fois avec une clé différente. Et le FAI ne sait même pas qu’on a téléchargé le même fichier, il sait juste qu’on a téléchargé à peu près (oui, à peu près, car les en-têtes HTTP ont peut de chance d’avoir exactement la même taille, et comme elles sont chiffrées avec les données, le FAI ne peut pas le distinguer) la même quantité de données depuis le même serveur.<br /> Bien sûr, les flux passent par leurs infrastructures, et ils pourraient en profiter pour tout capturer. Mais ça leur coûterait horriblement cher pour rien. Ils ne loguent en pratique à peu près que ce que la loi leur impose de loger, donc essentiellement les sessions d’échange, avec date, heure, IP source et destination, port source et destination, peut-être la taille des paquets échangés. Éventuellement ils loguent les URL complètes, mais dans la majorité des protocoles utilisés aujourd’hui, ils ne peuvent techniquement pas le faire : en HTTPS par exemple, les seules infos qu’à le FAI, c’est l’IP et le port du serveur et éventuellement le nom de domaine. L’URL complète, elle est chiffrée, il n’y a pas accès.
Voir tous les messages sur le forum

Lectures liées

Découvrez comment votre carte SIM pourrait protéger vos données des hackers
Attention à ce malware qui se propage et menace votre navigateur
Découvrez Proton, la toute nouvelle identité visuelle de ProtonMail
Opera VPN Pro est désormais disponible sur Windows et macOS
Zoom sur Fronton, le botnet russe qui multiplie les fake news sur les réseaux
YouTube retire 70 000 vidéos de désinformation pour contrecarrer la propagande russe sur la guerre en Ukraine
Face au malware XorDdos, Microsoft recommande son navigateur Edge aux utilisateurs de Linux
Ce bug dans PayPal permet à un hacker de manipuler les transactions
Attention, ce malware se cache dans un ficher Word vérolé, lui-même caché dans un PDF
Les Anonymous déclarent la cyberguerre à Killnet, un groupe de hackers pro-russes
Haut de page