Hacking

Plus de la moitié des applications sur Play Store ne seraient pas conformes au RGPD

Le 25 mai 2018, la loi européenne relative à la protection des données la plus importante de ces 20 dernières années entrera en vigueur. Le Règlement Général sur la Protection des Données (RGPD) va alors remplacer la Directive sur la protection des données personnelles actuellement en vigueur et adoptée en 1995. Le RGPD renforce les droits des individus concernant leurs données personnelles. Il vise à uniformiser les lois sur la protection des données au sein de l’Union européenne, quel que soit le pays où les données sont traitées.

Rendu à quelques mois seulement de son entrée en vigueur, quel est l’état des lieux en Europe ?

SafeDK, un cabinet qui surveille l’utilisation des kits de développement logiciel (SDK) dans les applications mobiles, a donné les résultats d’une étude qui s’est basée sur une analyse approfondie de centaines de milliers d’applications populaires de Google Play à l’échelle mondiale. Le cabinet a alors effectué un comparatif à une base de données de plus de 1000 SDK.

SafeDK rappelle que « L’intégration des SDK a de nombreuses vertus […], ils offrent des fonctionnalités qui aident les applications mobiles à être les meilleures applications. Mais ce sont toujours des boîtes noires de codes tiers que les éditeurs d’applications intègrent dans leur application. »

À quelles informations privées des utilisateurs les SDK accèdent-ils ?

Plus de la moitié (56 %) des applications ont au moins un SDK qui essaye d’accéder à l’emplacement de l’utilisateur. Deux applications sur cinq ont au moins un SDK qui tente d’obtenir la liste des applications installées sur le dispositif de l’utilisateur, tandis que 29,3 % des applications cherchent à obtenir la liste des contacts de l’utilisateur.

« L’un des exemples que Google donne de l’accès inutile aux données privées des utilisateurs (et qui sera bientôt appliqué) est l’accès à liste des applications installées sur l’appareil d’un utilisateur. Cette information n’est protégée par aucune permission que l’utilisateur peut accorder ou révoquer. L’intention est de vérifier les applications installées afin qu’elles puissent communiquer entre elles à chaque fois que cela sera possible », note SafeDK.

Une situation qui n’est donc pas conforme au RGPD. Les entreprises faisant usage de ces SDK seront donc amenées à faire des changements dans leur code si elles veulent rester conformes à la loi.

Combien de SDK accèdent aux informations des utilisateurs ?

Le tableau suivant indique le pourcentage de SDK accédant à des informations privées. Sur la gauche, nous avons des données sur tous les SDK, sur la droite, nous avons une analyse détaillée pour les SDK de réseau publicitaire uniquement :

 

« Fait intéressant, alors que les applications ont utilisé davantage de SDK au cours du trimestre, de plus en plus d’applications intègrent des SDK qui accèdent aux données des utilisateurs privés, mais cet accès est fait par moins de SDK. La situation est la même du côté des réseaux publicitaires : ils ont également réduit l’accès aux données privées des utilisateurs. Même si cette réduction n’est pas significative, il s’agit néanmoins d’un pas dans la bonne direction. Nous avons vu certains réseaux publicitaires populaires ne plus accéder à la liste des applications installées par l’utilisateur, par exemple. Il semble que les SDK prennent effectivement les mesures nécessaires pour assurer la sécurité des applications qui les intègrent et se préparent à de nouvelles réglementations à venir. »

 

Avez-vous mis en place des procédés au niveau de vos applications, ou au sein de votre lieu de travail afin d’être en conformité avec la nouvelle réforme ?

Comment here

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

fr_FRFrench
en_USEnglish fr_FRFrench