Selon un récent article, plus de 3300 applications Android pour enfants sur Google Play recueillent peut-être les données des enfants d'une manière inappropriée, constituant une violation potentielle de la législation américaine sur la protection de la vie privée des enfants.

L'étude, intitulée ‘Quelqu'un pensera-t-il aux enfants?’ Examen de la conformité COPPA à l'échelle (Won’t Somebody Think of the Children?” Examining COPPA Compliance at Scale), a examiné 5855 des applications Android les plus populaires s’adressant aux enfants. Elle a constaté que 3337 applications analysées, soit environ 57 %, contreviennent potentiellement la Children's Online Privacy Protection Act (COPPA).

La COPPA protège les enfants de moins de 13 ans contre la collecte massive d'informations personnelles identifiables (ou PPI, pour personally identifiable information). La loi régit la manière dont les applications, les jeux ou les sites Web sont autorisés à recueillir et à traiter des données sensibles provenant d'enfants. Ce faisant, elle interdit carrément certaines pratiques de collecte de données et exige le consentement parental pour d’autres.

Les 5855 applications testées ont été conçues par 1889 développeurs et ont accumulé 4,5 milliards d'installations au total. Ils sont répertoriés dans 63 catégories différentes de Google Play, la plupart dans différentes catégories « Jeux  ».

Que font ces applications exactement?

L'équipe de sept chercheurs provenant principalement d'universités américaines et canadiennes a utilisé un processus de test automatique pour déterminer comment les applications traitaient les données.

Ils ont constaté que les violations potentielles se présentaient sous plusieurs formes. Par exemple, 28% des applications ont accédé à des données sensibles protégées par des permissions Android. Ce qui est peut-être le plus inquiétant, c'est que près de 5% de toutes les applications collectent les informations de géolocalisation ou de contact des enfants, notamment l'adresse e-mail ou le numéro de téléphone du propriétaire de l'appareil, sans l'autorisation d'un parent.

Près des trois quarts (73 %) des applications ont transmis des données sensibles sur Internet, mais 40 % de celles-ci n'ont pas appliqué des mesures de sécurité raisonnables en n'utilisant pas le Transport Layer Security (TLS), la norme de sécurisation des données en transit.

L'étude a également identifié une non-conformité potentielle dans près de 19 % des applications qui collectent des identifiants persistants (tels que le numéro IMEI unique de l'appareil ou l'adresse MAC de leur WiFi) avec des tiers à des fins interdites, notamment le profilage des utilisateurs et le ciblage des publicités. Selon la COPPA, ces identifiants sont considérés comme des renseignements personnels s'ils peuvent être utilisés pour reconnaître un utilisateur au fil du temps et sur différents sites Web ou services en ligne.

En outre, 39 % des applications ont transmis l'identifiant publicitaire de Google connu sous le nom de AAID avec un autre identifiant immuable vers la même destination, agissant ainsi apparemment en violation des conditions de service du programme Pour la famille (DFF) de Google Play.

Informations personnelles identifiables (PII) collectées par de nombreuses applications testées. (Crédit image : « ‘Quelqu'un pensera-t-il aux enfants?’ Examen de la conformité COPPA à l'échelle »)

Les chercheurs ont attribué la plus grande partie de la responsabilité de ces glissements de données à l'inclusion et à l'utilisation de kits de développement de logiciels tiers (ou SDK, pour software development kits). Selon l’article : « Alors que beaucoup de ces SDK offrent des options de configuration pour respecter la COPPA en désactivant le suivi et la publicité comportementale, nos données suggèrent que la majorité des applications n'utilisent pas ces options ou les propagent de manière incorrecte à travers les SDK de médiation. »

En gardant cela à l'esprit, les chercheurs supposent que « de nombreuses violations de la vie privée sont involontaires et causées par des malentendus sur les SDK de tiers. »

Et Google?

Les chercheurs ont reconnu que Google a pris des mesures pour assurer le respect de la COPPA. Ils ont néanmoins précisé qu’ « il ne semble pas y avoir d'application (ou seulement une application limitée). » Par conséquent, ils ont exhorté l'entreprise à être plus active dans son processus d'approbation.

Entre-temps, Tom’s Guide a cité les propos d'un des porte-paroles de Google en réponse aux conclusions :

« Nous prenons le rapport des chercheurs très au sérieux et examinons leurs conclusions. La protection des enfants et des familles est une priorité absolue, et notre programme Pour les familles exige des développeurs qu'ils respectent des exigences spécifiques allant au-delà de nos politiques standards de Google Play. Si nous déterminons qu'une application viole nos politiques, nous prendrons des mesures. Nous apprécions toujours le travail de la communauté de recherche visant à rendre l'écosystème Android plus sûr. »

Les résultats des chercheurs pour chaque application testée sont disponibles sur un site web dédié : https://www.appcensus.mobi/.