Mieux vaut tard que jamais, Google a confirmé que l’amélioration du contrôle du suivi de la localisation était l’une des nouvelles fonctionnalités de protection de la vie privée intégrée dans la prochaine version de son système d’exploitation mobile, Android Q, qui devrait sortir plus tard cette année.
C’est un problème qui a causé quelques inquiétudes à Google au cours de l’année écoulée : en effet, une série d’enquêtes avaient révélé la façon dont les applications Android, et peut-être même Google, suivaient de manière furtive la localisation des utilisateurs.
À l’heure actuelle, l’accès à la localisation peut être accordé ou refusé au niveau de chaque application. Cependant, rien ne peut empêcher une application qui a reçu cette autorisation de continuer à suivre la localisation des utilisateurs même lorsqu’elle n’est pas utilisée.
La controverse est devenue telle que Facebook a même annoncé qu’il ajoutait de manière unilatérale le contrôle du suivi de localisation au niveau de son application Android pour dissiper les inquiétudes du public quant à son comportement en matière de collecte de données.
À partir de la version Android Q, les applications ne pourront plus le faire par défaut et devront demander un accès en arrière-plan. Dave Burke, Vice-Président Engineering de Google, a écrit :
Android Q permet aux utilisateurs d’autoriser les applications à ne voir leur localisation, que lorsque celle-ci est en cours d’utilisation (en cours d’exécution) ou bien permanente (utilisée en arrière-plan).
Est-ce que cela mettra fin à la controverse sur la localisation ? Hormis le fait que de nombreux appareils Android ne seront pas mis à niveau vers Android Q (seuls les appareils récents auront la dernière version), Google essaie de rattraper son retard : en effet, l’iPhone d’Apple dispose de la même fonctionnalité depuis iOS 11 en 2017.
Toutefois, ce changement important ne doit pas occulter l’ajout, dans Android Q, d’autres fonctionnalités de sécurité et de protection de la vie privée.
Identificateurs d’appareil
La plupart des utilisateurs d’Android n’ont probablement jamais entendu parler de l’Android Advertising ID (AAID), un identifiant lancé par Google en 2013 afin que les annonceurs puissent légitimement suivre les utilisateurs tout en donnant à ces derniers la possibilité de le réinitialiser (c’est-à-dire de l’effacer) aussi souvent qu’ils le souhaitent.
Malheureusement, une analyse récente a révélé que certains annonceurs contournaient ce système en effectuant le suivi d’identifiants impossibles à modifier, tels que l’ID d’un appareil Android et le numéro IMEI. Android Q veut limiter ce type de comportement :
Nous limitons l’accès aux identificateurs d’appareils non réinitialisables, notamment le numéro IMEI de l’équipement, le numéro de série ainsi que d’autres identifiants similaires.
L’adresse MAC matérielle de l’appareil sera également sélectionnée de manière aléatoire lors de la connexion à différents réseaux Wi-Fi, un réglage déjà possible sous Android 9 et qui deviendra un paramètre par défaut.
Stockage ciblé application
Chaque application obtiendra son propre espace de stockage isolé de type sandbox lors de l’utilisation de supports externes tels que des cartes SD, à laquelle aucune autre application ne pourra accéder.
Étant donné que les fichiers sont strictement liés à votre application, vous n’avez plus besoin d’autorisations pour accéder à vos propres fichiers et les enregistrer au sein d’un stockage externe. Cette modification facilite la protection de la confidentialité des fichiers des utilisateurs et permet de réduire le nombre d’autorisations nécessaires au niveau de votre application.
TLS 1.3
Parmi toutes les modifications mineures apportées, l’ajout de la prise en charge TLS 1.3 est notable. Il s’agit de la toute dernière incarnation du protocole utilisé pour configurer le HTTPS entre un navigateur et des sites web, ajoutant ainsi rapidité et confidentialité dans la phase de négociation.
Un dernier aspect peu familier d’Android Q est que les utilisateurs de smartphones Google Pixel peuvent obtenir la version bêta 1 dès maintenant en tant qu’image système téléchargeable Over-The-Air (inutile de rooter un appareil ou d’attendre des versions ultérieures).
Nous ne le recommandons réellement qu’aux développeurs (car la stabilité peut poser encore problème), mais il est intéressant de noter que Google permet au monde entier de découvrir, très tôt, les nouvelles versions d’Android.
Billet inspiré de Will the next version of Android get location privacy right?, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.