Pas moins de 88 % des quelque 21 000 applications de santé mobile (mHealth) accessibles sur le Google Play Store depuis l'Australie comportent un code permettant d'accéder aux données personnelles des utilisateurs et même de les partager avec des tiers, selon une analyse du Hub de cybersécurité de l'Université Optus Macquarie à Sydney.
L'étude, intitulée Mobile health and privacy: cross sectional study and published by the British Medical Journal, a examiné 8 000 applications classée dans la catégorie « santé » et 13 000 applications de la catégorie « santé et fitness ». Il s'agit de la quasi-totalité des applications mHealth accessibles sur le Google Play Store depuis l'Australie. Au total, près de 100 000 applications, tant sur Google Play que sur Apple Store, appartiennent à ces deux catégories.
Dans le cadre de leurs recherches, les chercheurs ont procédé à une analyse approfondie de près de 16 000 applications mHealth gratuites disponibles sur le marché des applications de Google et ont comparé leurs pratiques en matière de protection de la vie privée à un échantillon de référence de près de 8 500 applications hors mHealth.
Quels sont les résultats de l'étude?
L’étude souligne que : « Les principaux types de données collectées par les applications mHealth sont les informations de contact, la localisation de l'utilisateur et plusieurs identifiants d'appareils. Une partie de ces identifiants (en particulier, l'IMEI (International Mobile Equipment Identity), un identifiant unique utilisé pour prendre les empreintes digitales des téléphones mobiles ; le MAC (Media Access Control), un identifiant unique de l'interface réseau de l'appareil de l'utilisateur ; et l'IMSI (International Mobile Subscriber Identity), un numéro unique qui identifie chaque utilisateur d'un réseau cellulaire) sont uniques et persistants (c'est-à-dire qu'ils sont immuables et ne peuvent pas être modifiés ou remplacés) et peuvent être utilisés par des tiers pour suivre les utilisateurs à travers les réseaux et les applications ».
Deux applications sur trois collectaient des identifiants MAC et des cookies, un tiers collectait les adresses électroniques des utilisateurs et environ un quart des applications pouvaient deviner la localisation actuelle de l'utilisateur en fonction de l'antenne relais à laquelle il était connecté.
Toutefois, par rapport à d'autres types d'applications, les applications de santé mobile ont recueilli et transmis moins de données sur les utilisateurs et ont fait preuve d'une plus faible pénétration des services tiers. La transmission de données n'a été enregistrée que dans environ 4 % des applications mHealth testées, les types de données les plus courants étant le nom et la localisation des utilisateurs.
Si l'étude conclut que la façon dont les applications de santé mobile récupèrent et partagent les données des utilisateurs peut être considérée comme une routine, la communication de ces pratiques est tout sauf transparente. Près d'un quart des transmissions de données d'utilisateur, en particulier les données concernant les mots de passe et les données de localisation, ont été observées comme ayant lieu via une connexion HTTP non sécurisée et non chiffrée. Près d'un tiers des applications de santé mobile ne proposaient aucune politique de confidentialité détaillant la manière dont les données étaient traitées.
Par ailleurs, un autre quart des applications analysées traitaient les données d'une manière qui violait clairement leur politique de confidentialité. Cela pourrait poser des problèmes aux entreprises qui seraient jugées en infraction avec les réglementations sur la vie privée telles que le Règlement général sur la protection des données (RGPD) de l'Union européenne, qui exige que les utilisateurs soient clairement informés de la manière dont leurs données sont traitées.
« Les applications mobiles deviennent rapidement des sources d'information et des outils d'aide à la décision pour les cliniciens et les patients. Ces risques pour la vie privée devraient être expliqués aux patients et pourraient faire partie du consentement à l'utilisation de l'application. Nous pensons que le compromis entre les avantages et les risques des applications de santé mobile doit être pris en compte dans toute discussion technique et politique concernant les services fournis par ces applications », conclut le document.
Vous n'êtes pas sans savoir que, pour faire leur travail, les applications mobiles ont besoin d'accéder à certaines de vos données ou aux fonctions de votre téléphone, généralement vos contacts, votre localisation, votre microphone ou votre appareil photo. Dans de nombreux cas, cependant, les applications aspirent des quantités démesurées d'informations personnelles et demandent des autorisations dont elles n'ont pas vraiment besoin pour une fonction ou une autre. Tony Anscombe, évangéliste en chef de la sécurité d’ESET, s'est récemment penché sur les raisons pour lesquelles vous devriez vous méfier des types de permissions que vous accordez aux applications mobiles et des cas où les demandes sont excessives.