# Souriez, vous-êtes   observés



## -JB- (9 Janvier 2012)

Je me suis rendu compte hier que 75/80 % de mes applications téléchargées sur mon iPhone communiquent des informations (telle que la page courante, l'orientation du device, le mode d'accès en Wifi/3G, et l'identifiant de l'appareil) vers des serveurs tierces tels que ceux de XITI. Ces applications ne préviennent pas que ces informations sont envoyées, on a pas/peu de moyens de les désactiver comme lorsqu'on est dans un navigateur web et qu'on désactive les cookies  J'ai même une application qui remonte mon adresse IP du réseau wifi + IP GSM et encore une autre qui envoie même mes logins/mdp d'accès à leurs services en clair . Et puis par dessus tout ça, tout le monde utilise presque toujours le même et unique ID (qui doit disparaître dans l'OS 5 ou ultérieur, mais rien n'empeche nos gentils amis au profit d'une mise à jour de leurs applications de conserver l'ancien ID et de continuer ainsi comme si rien ne s'était passé )

Je me demande d'ailleurs qu'elle est la position de nos amis de la CNIL sur le sujet  Ils proposent en tout cas des lettres types à envoyer pour obtenir les infos, les faire supprimer et demander l'interdiction de leur utilisation à des fins publicitaires. 

XITI propose également une solution d'OPT-OUT mais qui ne fonctionne à priori que pour les sites web. A quand la possibilité de le faire depuis les applications natives? Apple propose également une solution d'OPT-OUT pour iAd

Pour vérifier (en partie les requêtes HTTP), j'ai configuré un proxy (mod_proxy) pour Apache, et j'ai fait passer les requêtes de l'iPhone par ce proxy puis j'ai regardé les logs des requêtes HTTP. Flurry un n'autre service du même genre passe lui en HTTPS et la ça devient plus dur de suivre ce qui se passe, configurer un proxy HTTPS avec un certificats SSL généré par le proxy et accepté par l'iPhone ne semble pas possible donc impossible de savoir qu'elles données sont envoyées.


----------



## Gwen (10 Janvier 2012)

Si tu nous disais de quels logiciels tu parles, ça serait plus simple non ?


----------



## -JB- (10 Janvier 2012)

Ce comportement a été trouvé dans les applications suivantes ;  LeMonde.fr, LeFigaro.fr, Viadeo, Fnac, Voyages-SNCF, Groupon, LaFourchette, Première, AlloCiné, Pages-Jaunes


----------



## diamondtoy (11 Janvier 2012)

Rien de très étonnant. Depuis la fuite des informations carnets d'adresses et compagnie a chaque fois qu'une application demande de creer un compte j'utilise un compte bateau avec un mot de passe cheap perso.
Mais j'avoue que les app de ce genre devrait être retiré de l'appstore. D'une parce que non en conformité avec la CNIL. De deux je doute que se soit aussi en conformité avec Apple aussi.


----------

