Vous avez peut-être déjà vu les boîtiers « BM2 », qui permettent de suivre la santé de la batterie de votre véhicule à travers un smartphone, en passant par une connexion Bluetooth. Et bien ces boîtiers d'origine chinoise envoient votre localisation en Chine et en clair, évidemment sans votre consentement.
Les boîtiers en question, disponibles à partir d'une trentaine d'euros sur de nombreux sites, se branchent directement aux cosses d'une batterie d'une voiture. Ils communiquent ensuite en Bluetooth avec un smartphone pour permettre de suivre en temps réel l'état de la batterie du véhicule, pour éviter de se retrouver bloqué parce que la batterie a eu un problème. Mais comme l'explique HaxRob sur son blog, l'application doit être considérée comme un mouchard.
La fiche de la version Android indique que l'application n'envoie pas de données à des tiers, qu'elle ne collecte pas de données et que les transmissions éventuelles sont chiffrées. Mais comme HaxRob l'indique, l'application envoie votre position aux serveurs de la société, en plus du niveau de la batterie. De même, elle envoie des informations liées au Wi-Fi et au réseau cellulaire à la compagnie chinoise AMap (une filiale d'Alibaba), en plus (encore) de votre position.
Celle de l'application iPhone indique qu'elle collecte votre localisation et les données de diagnostics. Sur le site de la marque, un document indique que les données sont envoyées à Hong-kong, ce qui n'est pas le cas.
Beaucoup trop de données
HaxRob note déjà une chose : si iOS permet de refuser l'accès aux données de localisation tout en gardant un accès Bluetooth (nécessaire pour l'usage principal), ce n'est pas réellement le cas sous Android. En effet, l'accès au Bluetooth ou au Wi-Fi implique généralement aussi l'accès à la localisation, sauf dans des cas particuliers.
L'application envoie donc pas mal d'informations en clair au fabricant du boîtier, mais aussi à AMap. La filiale d'Alibaba récupère beaucoup de données pour se construire une base de données équivalente à celle de Google ou Apple pour la localisation « Wi-Fi ». Cette technique nécessite d'obtenir les identifiants des antennes de téléphonie mobile et celles des bornes Wi-Fi pour les recouper avec la localisation précise (obtenue via les satellites GPS, par exemple) pour permettre à un appareil de se localiser rapidement.
La recommandation de base, dans les faits, est évidemment d'éviter ce genre d'appareils si vous tenez à votre vie privée. Et si pour une raison ou pour une autre vous en avez vraiment besoin, pensez à aller vérifier dans les paramètres d'iOS si l'application a le droit (ou pas) d'accéder à votre localisation. Car — et c'est une règle de base — si une application vous demande un accès à votre position, demandez-vous toujours pourquoi elle en a besoin.
