Des applications de contrôle parental montrées du doigt

 (Image: Pixabay © CC0)

(Image: Pixabay © CC0)

Des chercheurs de l’EPFL et des instituts IMDEA Software et IMDEA Networks basés en Espagne ont découvert que de nombreuses applications de contrôle parental collectent et partagent des données sans consentement, et ne respectent pas les exigences réglementaires.

Les applications de contrôle parental disponibles sur Android via Google Play Store permettent aux parents de surveiller et limiter les activités en ligne de leurs enfants, et même de connaître leur position géographique. Par exemple, les parents peuvent consulter l’historique de navigation de leurs enfants, bloquer ou limiter l’accès à certains sites ou fonctions web, ou surveiller l’emplacement de leur téléphone portable pour savoir où se trouvent leurs enfants.

Par définition, ces applications sont très intrusives car leur fonctionnement requiert un accès privilégié aux ressources système et à des données sensibles. Cet accès peut limiter les risques associés aux activités en ligne des enfants. Or, cette nouvelle étude a révélé que ces applications soulèvent d’importantes préoccupations liées à la protection de la vie privée, jusqu’ici négligée par les organismes de réglementation et les organisations qui fournissent des recommandations au grand public sur leur utilisation.

L’étude

Les chercheurs, dont Carmela Troncoso, responsable du laboratoire d’ingénierie de la sécurité et de la confidentialité ( SPRING ) à la Faculté informatique et communications (IC) de l’EPFL, ont mené la première étude approfondie sur l’écosystème des applications de contrôle parental Android sous l’angle de la vie privée et de la réglementation, en étudiant 46 applications différentes de 43 développeurs. Au total, ces applications ont été téléchargées plus de 20 millions de fois depuis Google Play Store.

Par le biais d’analyses statiques et dynamiques, ils ont découvert que près de 70% des applications partagent des données confidentielles sans le consentement des utilisateurs. Ils se sont aussi aperçus que près de 75% d’entre elles contiennent des bibliothèques tierces axées sur les données à des fins secondaires dont les réseaux sociaux, la publicité en ligne et l’analyse. 80% des applications qui partagent des données avec des tiers ne citent pas le nom de ces derniers dans leur politique de confidentialité, ce qui révèle non seulement un manque de transparence mais aussi un non-respect des exigences réglementaires.

Carmela Troncoso se déclare surprise de voir que ces bibliothèques de surveillance infiltrent des applications de contrôle parental étant donné les préoccupations actuelles en matière de confidentialité des données, et alors que la législation en vigueur (telle que le RGPD européen) protège l’accès aux données des enfants par un consentement parental clair.

«Avec certaines applications, vous ne pouvez pas regarder du contenu sur votre téléphone sans que vos informations soient envoyées au serveur d’arrière-plan. Si vous êtes passé à Signal parce que WhatsApp a décidé de transmettre vos données à Facebook, peut-être que vous ne souhaitez pas avoir une application sur le téléphone de votre enfant qui leur transmet, à eux et à des tiers, toutes ses données, chaque lien sur lequel il clique.»

Implications politiques

Les chercheurs espèrent que ces découvertes ouvriront un débat sur les risques pour la vie privée induits par ces applications, notamment si la capacité de ces applications à protéger les enfants justifie les risques liés au partage de leurs données. Ils espèrent également que les organismes de réglementation regarderont au-delà du prix, des capacités ou de la convivialité de ces applications et veilleront à ce qu’elles soient évaluées en termes d’analyse de la sécurité et de la confidentialité pour aider les parents à faire le meilleur choix.

«Si des applications sont autorisées à surveiller les enfants, elles doivent faire l’objet de contrôles plus stricts. La question est de savoir par qui et comment ces contrôles doivent être effectués. C’est difficile, nous devons avoir des garanties, et ce que révèle notre étude c’est que la situation actuelle ressemble au Far-West», termine Carmela Troncoso.

** Les chercheurs Álvaro Feal (institut IMDEA Networks), Paolo Calciati (institut IMDEA Software), Narseo Vallina-Rodríguez (institut IMDEA Networks), Carmela Troncoso (labo Spring, EPFL) et Alessandra Gorla (institut IMDEA Software) ont remporté le prix pour la recherche et la protection des données personnelles Emilio Aced, remis par l’Agence espagnole de protection des données (AEPD), pour l’article «Angel or Devil? A Privacy Study of Mobile Parental Control Apps.»