L'exploitation et la vente des données personnelles d'utilisateurs est un jeu dangereux avec lequel il est facile de se brûler. Le service de météorologie mondialement renommé Accuweather vient d'en faire les frais avec la découverte, lundi dernier par le CEO de Sudo Security Group, Will Strafach, d'un bien étrange manège. Les utilisateurs de la version iOS d'Accuweather qui ont refusé la remontée d'informations personnelles relatives à leur localisation ont de quoi être surpris. Leur absence de consentement n'a apparemment pas empêché Accuweather de collecter ces données, via le SDK publicitaire de son partenaire Reveal Mobile, implanté dans son app. « Au cours d'un test d'une période de 36 heures, spécifiquement lorsque l'application Accuweather ne tournait pas en premier plan, mon iPhone test a envoyé des informations à RevealMobile 16 fois », a indiqué Will Strafach.
Suite à cette révélation, Accuweather et son partenaire Reveal Mobile ont fait front commun : « Aucune coordonnée GPS n'est collectée ou reçue autrement qu'avec la permission de l'utilisateur. D'autres données, comme les informations réseau Wi-Fi qui ne sont pas des données utilisateur, ont été pendant une courte période disponibles sur le SDK Reveal mais n'ont pas été utilisées par Accuweather. En fait, Accuweather n'était pas au courant de la disponibilité de ces données. A aucun moment, celles-ci n'ont été utilisées par Accuweather ». Les données des routeurs Wi-Fi ainsi que les informations BSSID (basic service set identifier) permettent toutefois d'en savoir assez pour localiser un utilisateur sans atteindre toutefois la précision de coordonnées GPS.
Un mea culpa insuffisant pour rassurer des utilisateurs devenus méfiants ?
Mercredi, Reveal Mobile a publié un nouvel SDK pour iOS afin, d'après The Register, de « cesser la collecte de données de terminaux si la localisation par l'utilisateur est désactivée ». Et Reveal Mobile d'avoir également précisé de son côté : « Nous n'avons pas tenté de faire de l'ingénierie inversée de la localisation de terminaux basés sur d'autres signaux de données lorsque les services de localisation sont désactivés. » Pas sûr que ce mea culpa suffise à rassurer les utilisateurs sur l'exploitation et la monétisation de leurs données personnelles. Cette affaire montre en tout cas que le fossé existe bel et bien entre la volonté du législateur à mettre en place des barrières pour protéger les intérêts privés des consommateurs et la tentation des fournisseurs à outrepasser les volontés des utilisateurs pour exploiter et monétiser leurs données.
En France, la traque massive de 10 millions de Français par le biais d'apps à des fins publicitaires via l'IDFA, le numéro d'identification publicitaire des iPhone, aurait apparemment déjà commencé.