Le Financial Times a publié une enquête sur la collecte de données personnelles par Yandex, le « Google russe » dans de nombreuses apps iOS et Android. Ces données sont stockées sur des serveurs en Finlande et en Russie et puisque l’entreprise est soumise à la législation russe, elles pourraient être récupérées par le Kremlin et utilisées à des fins politiques, prévient le site. Ce qui est techniquement possible, mais l’enquête ne prouve pas que c’est le cas et Yandex ne le fait pas à l’insu des développeurs, comme le Financial Times le laisse parfois entendre.
La collecte des données se fait notamment par le biais d’AppMetrica, un service de collecte de données proposé gratuitement par Yandex. Les développeurs qui souhaitent obtenir des informations sur leurs utilisateurs, par exemple pour savoir quelles fonctions de leurs apps sont populaires ou pour fournir des publicités pertinentes, peuvent utiliser ce service qui concurrence directement Firebase de Google. Ils intègrent alors un kit de développement (SDK) fourni par Yandex à leurs apps et peuvent accéder aux données collectées par l’entreprise depuis le site web du service.
AppMetrica n’a rien d’exceptionnel, on pourrait même juger que c’est le clone russe d’un service américain, comme tout ce que Yandex propose par ailleurs, à l’image de Yandex Maps ou Yandex Translate. Les développeurs peuvent choisir de l’utiliser dans leurs apps et ils doivent alors ajouter le SDK fourni par l’entreprise. La collecte des données à proprement parler ne se fera ensuite que si l’utilisateur l’accepte, avec des règles renforcées par Apple depuis iOS 14.5 et l’affichage systématique d’une boîte de dialogue pour autoriser ou non le suivi publicitaire d’une app.
Même si Yandex ne fait rien d’anormal avec son service, il faut noter que les SDK utilisés par les apps ne sont pas forcément connus des utilisateurs. Les autorisations demandées par les apps Android comme iOS ne précisent pas qui aura accès aux données et on peut facilement passer à côté de l’information. Le Financial Times note ainsi l’ironie de plusieurs apps de VPN sorties récemment et destinées explicitement aux Ukrainiens qui intègrent le SDK fourni par Yandex. Si le gouvernement russe le souhaitait, il pourrait accéder à ces données et les utiliser pour identifier les utilisateurs des apps d’après des chercheurs en sécurité cités par le site.
Yandex confirme la collecte des données et leur stockage sur des serveurs situés en Finlande et Russie, mais note qu’elles ne permettent pas de remonter directement à l’utilisateur. Le SDK récupère des informations sur l’appareil, le réseau et l’adresse IP, ce qui ne permet pas d’identifier directement ou facilement un utilisateur, même si cela reste possible, reconnaît l’entreprise. Le risque d’une utilisation par la Russie n’est pas nul, même si la firme souligne que chaque demande gouvernementale doit être justifiée sous peine d’être refusée.
Quoi qu’il en soit, c’est exactement pour répondre à ce genre de problématique qu’Apple a ajouté avec iOS 15 un rapport de confidentialité pour les apps. Tous les accès aux données personnelles demandés par les apps ainsi que tous les noms de domaines contactés par ce biais sont enregistrés et peuvent ainsi être surveillées par les utilisateurs.
iOS 15.2 : premier coup d'œil sur le nouveau rapport de confidentialité des apps
Si vous n’avez jamais utilisé cette fonction, sachez que vous devez l’activer dans l’app Réglages, puis « Confidentialité » et « Rapport de confidentialité des apps » en bas de l’écran. Le rapport conserve ensuite sept jours de données et vous pourrez notamment vérifier si des noms de domaine associés à Yandex sont dans la liste, en ouvrant la section « Domaines les plus contactés ». Vous pouvez la trier par ordre alphabétique et chercher des domaines comme mc.yandex.ru et an.yandex.ru qui sont utilisés par ses services de statistiques.
La liste est vite longue et Apple ne propose aucun champ de recherche malheureusement. Pour aller plus loin, le mieux est de revenir sur la page principale du rapport et de toucher l’icône de partage en haut à droite de l’écran. Récupérez le fichier généré pour l’ouvrir dans un éditeur de texte et cherchez d’éventuelles références à « yandex.ru ».
