Le 27 avril 2021, un recours collectif a été intenté contre Google, Inc. («Google»), alléguant que le système de notification d’exposition Google-Apple («GAEN») – l’application de suivi des contacts COVID-19 de la société – contenait une faille qui peut permettre à des tiers d’accéder aux informations médicales des utilisateurs. Google avait promis aux utilisateurs de GAEN que leurs informations médicales seraient conservées dans la plus grande confidentialité. La société a expliqué que «la liste des personnes avec lesquelles vous avez été en contact ne quitte pas votre téléphone à moins que vous ne choisissiez de la partager», ce qui implique que les données étaient à l’abri d’un accès tiers non autorisé. En outre, Google a promis que les données collectées étaient toutes anonymisées de sorte que même si des tiers pouvaient accéder aux données, les informations ne pourraient pas être liées à une personne en particulier.

Cependant, même si GAEN n’enregistre pas directement les diagnostics COVID-19 dans les journaux système, les identificateurs de proximité (RPI) sont stockés à côté des adresses MAC dans les journaux système. La combinaison de ces identifiants peut être utilisée pour retracer les informations jusqu’à des identités individuelles, des emplacements et d’autres attributs d’identification, et ces journaux système sont accessibles par des tiers à diverses fins. En fait, des études ont montré que plus de 400 applications préinstallées sur les téléphones construits par Samsung, Motorola, Huawei et d’autres entreprises ont l’autorisation de lire les journaux système, généralement à des fins de rapports de plantage et à des fins d’analyse. Ainsi, la disponibilité de ces informations dans les journaux système semble contredire les assurances de Google.

Des chercheurs de la société d’analyse de la confidentialité AppCensus ont découvert la faiblesse du système de stockage d’informations GAEN qui permettait à d’autres applications d’accéder aux informations utilisateur GAEN plus tôt cette année. AppCensus a alerté Google du problème en février 2021, mais Google n’a pris aucune mesure à l’époque. Heureusement, il n’y a aucune preuve largement publiée que des applications tierces aient effectivement collecté des données utilisateur à partir des journaux système, et Google affirme qu’il déploie actuellement un correctif pour remédier à la faiblesse de la programmation de l’application.

Ce cas ajoute une considération supplémentaire pour les entreprises au-delà des seules données avec lesquelles l’application de l’entreprise est censée interagir. Une constatation contre Google pourrait encourager les entreprises à concevoir leurs applications en tenant compte du flux de données en aval. En particulier, pour les données sensibles, les entreprises doivent savoir quelles autres informations sont stockées à côté des données collectées par leurs applications et quelles parties peuvent y avoir accès. Les développeurs d’applications doivent envisager des ajustements rapides si une faiblesse potentielle des mesures de confidentialité est portée à leur attention.

Rate this post
Publicité
Article précédentPokemon Latte devient viral avec l’aide de l’exeggutor
Article suivantGmail et Facebook sont les première et troisième applications iOS les plus populaires collectant des informations personnelles
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici