Dans cette édition du Digest AdGuard : les applications partagent trop vos données, DuckDuckGo flirte avec un géant de la technologie, des patients poursuivent Google en justice, l'UE sacrifie la vie privée pour sauver les enfants, Twitter lance un jeu, Mozilla joue sur les deux tableaux avec Manifest V3, etc.

Les applications de santé mentale et de prière n'ont pas la cote en matière de confidentialité

Une nouvelle enquête de Mozilla a révélé que 28 des 32 applications traitant de questions telles que le suicide, la dépression, la violence sexuelle et les croyances religieuses ne respectent pas, de manière "spectaculaire", les normes de base en matière de protection de la vie privée. Six de ces applications - Better Help, Youper, Woebot, Better Stop Suicide, Pray.com et Talkspace - ont obtenu des résultats particulièrement médiocres. Par exemple, Pray.com, qui se présente comme "l'application n°1 pour les chrétiens" aime partager. Et si le partage est synonyme de bienveillance, Pray.com a pris cette notion trop au pied de la lettre en partageant les données des utilisateurs avec des tiers à des fins publicitaires. En outre, l'entreprise peut enrichir ces données avec les informations sur le sexe, l'âge, l'origine ethnique, les revenus et les opinions politiques qu'elle achète ailleurs, et se réserve le droit de publier le nom, la voix et d'autres informations personnelles des utilisateurs à des fins commerciales. Une autre application figurant sur la liste noire est Better Help, dont la politique de confidentialité est "incroyablement vague et désordonnée". L'application peut partager des données avec des annonceurs et stocker les communications entre clients et thérapeutes sur la plateforme sous une forme cryptée. En outre, il a été signalé que Better Help partage des métadonnées avec Facebook.

Mozilla affirme que les applications de santé mentale sont "une manne de collecte de données". Une autre étude publiée récemment qui a analysé les politiques de sécurité des données des 23 applications de santé féminine les plus populaires est arrivée à la même conclusion. La moitié des applications ne demandaient pas le consentement des utilisateurs pour les suivre, tandis que la majorité absolue partageait les données avec des tiers.

Chez AdGuard, nous sommes profondément préoccupés par les faibles normes de confidentialité employées par les applications. Nous félicitons Mozilla d'avoir fait la lumière sur cette question. Il est grand temps de changer la situation. Pour l'instant, nous vous recommandons vivement de ne donner aux apps que les autorisations les plus nécessaires.

L'accord de suivi de Duck-Duck-Go avec Microsoft fait grincer l'industrie

DuckDuckGo a dû s'expliquer après que le chercheur en sécurité Zach Edwards a révélé que son navigateur mobile n'empêche pas les trackers de Microsoft de fonctionner. Le fondateur de DuckDuckGo, Gabriel Weinberg, a alors admis que sa société avait effectivement conclu un accord de recherche avec Microsoft qui permet aux trackers du géant technologique de fonctionner dans le navigateur de DuckDuckGo pour Android et iOS, mais pas dans son moteur de recherche axé sur la confidentialité.

L'accord, à première vue, va à l'encontre de tout ce que l'entreprise défend. Cependant, après que la révélation ait provoqué une onde de choc dans le secteur, DuckDuckGo a déclaré qu'il n'avait "jamais promis" l'anonymat lors de la navigation. Weinberg a affirmé que les utilisateurs du navigateur de DuckDuckGo n'ont pas à s'inquiéter car il offre toujours une protection contre les cookies tiers et les empreintes digitales en imposant des restrictions aux scripts de suivi tiers, "y compris ceux de Microsoft". DuckDuckGo a également déclaré que l'entreprise cherche à "supprimer la restriction limitée" du blocage des traceurs Microsoft en renégociant l'accord.

Pour notre part, chez AdGuard, nous sommes profondément préoccupés par l'accord et son impact potentiel sur l'industrie, considérant que DuckDuckGo et son moteur de recherche ont joué un rôle de pionnier pour la protection de la vie privée des utilisateurs.

Surprise, surprise. Google dans l'eau chaude juridique sur l'utilisation abusive des données

Les vieux péchés reviennent hanter Google. Le géant de la technologie est maintenant confronté à une action collective en justice qui demande des dommages et intérêts non spécifiés pour l'utilisation abusive présumée de dossiers médicaux de patients. La plainte a été déposée au Royaume-Uni au nom de 1,6 million de personnes dont les données ont été partagées avec DeepMind, la division IA de Google, sans leur consentement. L'application de DeepMind a reçu les données d'un organisme public de santé. L'application a été conçue pour aider les médecins à suivre l'état des patients afin de détecter les premiers signes d'une maladie. Le fait que le trust ait partagé les données des patients avec DeepMind n'est pas nouveau - le procès actuel est un écho lointain d'un scandale de données qui a éclaté en 2017. À l'époque, seul le trust avait été poursuivi, DeepMind s'en tirant à bon compte. DeepMind a fait valoir qu'elle n'avait partagé aucune donnée avec sa société mère, Google. Cette défense semble aujourd'hui peu convaincante, surtout depuis que Google a repris l'application en 2018. Le géant de la technologie avait traité les données des patients jusqu'à l'année dernière.

Nous espérons que cette affaire servira d'avertissement aux entreprises technologiques enclines à partager les données des utilisateurs sans leur consentement explicite. Nous espérons également que la justice sera rendue et que les auteurs de violations de la vie privée seront punis.

L'UE risque de compromettre le chiffrement de bout en bout et la protection de la vie privée avec un nouveau dispositif de protection des enfants

Meta, Apple et d'autres entreprises technologiques de l'Union européenne pourraient bientôt être obligées d'analyser les messages à la recherche de matériel pédopornographique (CSAM). Cette proposition fait partie du nouveau plan de la Commission européenne pour lutter contre les abus envers les enfants. En vertu de la loi, les entreprises seront chargées d'identifier et d'arrêter la circulation non seulement des matériels connus, mais aussi de détecter les nouveaux matériels et le "grooming" dans les SMS. Le "grooming" consiste à se lier d'amitié avec un enfant pour tenter de le persuader d'avoir une relation sexuelle. Les entreprises technologiques devront faire rapport à un centre européen qui sera bientôt créé et dont le personnel vérifiera manuellement que les messages ne sont pas faussement positifs avant de les transmettre à la police. Cette loi s'inscrit dans le prolongement du règlement temporaire adopté par l'UE l'été dernier qui autorisait les entreprises technologiques à analyser des images et des textes à la recherche d'abus sexuels sur des enfants sur une base volontaire.

L'UE précise que les "ordres de détection" permettant de scanner les messages seraient émis par un tribunal ou une autre autorité compétente. Elles devraient être "limitées dans le temps" et viser des types de canaux, des utilisateurs ou des groupes d'utilisateurs "spécifiques".

Le projet a déjà suscité la colère des défenseurs de la vie privée. L'Electronic Frontier Foundation (EFF) l'a qualifié de "désastre pour la vie privée en ligne dans l'UE et dans le monde entier", car il compromettrait le cryptage de bout en bout. Le développeur du service de courrier électronique sécurisé Tutanota, basé en Allemagne, a fait valoir que la surveillance des télécommunications ne permettrait pas d'attraper les abuseurs d'enfants. Il a souligné que si 13 670 enfants ont été victimes d'abus en Allemagne en 2019, un ordre de surveillance en ligne n'a été émis que dans 21 cas.

Chez AdGuard, nous pensons que s'il est important de protéger les enfants contre les atteintes numériques, cela doit se faire par d'autres moyens et non au détriment de leur propre vie privée. Le fait qu'il y ait une tendance inquiétante à abandonner les protections de la vie privée au nom de la sécurité des enfants ajoute à l'inquiétude. Par exemple, Apple envisage de mettre en place sa propre fonction de détection des MSCA. Vous pouvez en savoir plus à ce sujet dans l'un de nos articles précédents.

Mozilla résout le dilemme du Manifest V3

Le rétroaction est importante, lorsqu'elle est prise en compte. Le cas de Mozilla et d'une série de changements controversés introduits par Google pour les règles des extensions de navigateur en est un bon exemple. Rappelons que les changements sont mis en œuvre sur les navigateurs basés sur Chromium dans la nouvelle version de l'API des extensions - Manifest V3. Cette version a fait l'objet de nombreuses critiques, y compris de la part de vos humbles serviteurs, car elle prive les extensions de droits d'accès aux requêtes Web et, par conséquent, de nombreuses fonctionnalités utiles.

Les développeurs d'extensions qui faisaient partie du groupe de travail du W3C ont exprimé leurs inquiétudes quant à cette proposition. Et si les réactions sont effectivement tombées dans l'oreille d'un sourd chez Google, Mozilla en a tiré des enseignements. L'entreprise a révélé qu'elle prendrait le meilleur des deux mondes : elle mettra en œuvre le Manifeste 3 mais de manière à ne pas limiter la fonctionnalité des extensions de navigateur existantes et futures. Firefox maintiendra la prise en charge du blocage de WebRequest, mais il prendra également en charge la nouvelle API de Google à portée plus étroite qui était censée remplacer la fonction dans MV3. Google supprime progressivement la prise en charge des extensions qui utilisent Manifest V2 et prévoit de la supprimer complètement d'ici juin de l'année prochaine.

AdGuard ne peut que saluer Mozilla puisque cette nouvelle signifie que les bloqueurs de contenu continueront à fonctionner sous leur forme originale, plus "puissante" sur la plateforme. Si nous devions parier, nous pensons que les mainteneurs de listes de filtres pourraient passer sur Firefox comme navigateur principal, ce qui, à son tour, peut sonner le déclin de Chrome à long terme. Chrome pourrait devenir trop lent à bloquer le contenu indésirable, de sorte que les utilisateurs soucieux de leur vie privée pourraient tout aussi bien migrer vers Firefox.

Le rachat de Twitter par Musk est dans le tiroir, mais pas le pivot vers la privacy ?

Nous avons parlé de l'achat imminent de Twitter par Elon Musk pour 44 milliards de dollars il y a un moment. À l'époque, l'accord semblait être pratiquement conclu. Cependant, depuis, Musk a mis son offre de rachat de Twitter en attente et cherche à faire baisser le prix du géant technologique. Le milliardaire affirme que Twitter a sous-déclaré le nombre de "robots spammeurs" sur la plateforme. Twitter estime le nombre de faux utilisateurs à 5 %, alors que Musk pense qu'il est d'au moins 20 %.

En attendant, nous pourrions déjà voir les premiers signes de l'influence de Musk sur la politique de Twitter. Le milliardaire a précédemment déclaré vouloir rendre Twitter plus soucieux de la protection de la vie privée. Ainsi, au début du mois, Twitter a dépouillé sa politique de confidentialité de tout jargon juridique. La société a déclaré qu'elle espérait qu'il serait plus facile pour les utilisateurs de comprendre quelles données elle collecte, dans quel but et comment ils peuvent gérer les paramètres de confidentialité. Pour que non seulement les adultes mais aussi les adolescents puissent comprendre la politique de confidentialité de Twitter, la société a lancé un jeu vidéo en ligne à plusieurs niveaux appelé "Twitter Data Dash". Un joueur doit aider un chien nommé "Data" à se rendre en toute sécurité au parc de "PrivaCity". Pour ce faire, il faut "éviter les publicités pour chats, nager dans une mer de DM, combattre les trolls" et apprendre à "prendre le contrôle de son expérience Twitter".

Pas mal, pour commencer.

Le respect de la vie privée est à la mode et Google veut rester dans le coup

Récemment, Google s'est efforcé de paraître soucieux du respect de la vie privée aux yeux des utilisateurs. Jusqu'à présent, l'effet a été mitigé : nous vous invitons à lire notre analyse approfondie de l'initiative de confidentialité de Google - Privacy Sandbox - et de ses lacunes ici. Google a maintenant dévoilé un nouvel outil qui devrait permettre aux utilisateurs de mieux contrôler les publicités qu'ils voient sur YouTube, dans la recherche Google et dans leurs fils Google. Ils pourront affiner leurs préférences en matière d'annonces grâce au nouveau hub "My Ad Center". Là, les utilisateurs pourront indiquer directement à Google les sujets et les marques sur lesquels ils souhaitent voir "plus ou moins d'annonces" ou désactiver complètement les "annonces personnalisées". Les utilisateurs pourront désactiver la fonction qui permet aux annonceurs de les cibler avec des annonces basées sur leur âge, leur statut relationnel et leur éducation.

Le géant technologique a également annoncé qu'il placerait une alerte jaune au-dessus de la photo de profil dans toutes les applications Google s'il juge que le compte n'est pas suffisamment sécurisé. Cette alerte devrait servir à rappeler aux utilisateurs d'ajouter une autre couche de sécurité, comme la vérification en deux étapes.

Le mérite en revient à ceux qui le méritent. Nous avons toujours approuvé la vérification en deux étapes et nous vous recommandons vivement de l'activer sur votre compte AdGuard si vous ne l'avez pas encore fait.