Dans une lettre ouverte, plus de 50 organisations ont demandé à Google de prendre des mesures contre les fournisseurs de smartphones Android qui vendent des appareils avec des applications préinstallées inamovibles, également connues sous le nom de bloatware.
« Nous, les signataires, sommes d’accord avec vous : la vie privée ne peut pas être un luxe offert uniquement aux personnes qui peuvent se le permettre.
« Et pourtant, les partenaires Android - qui utilisent la marque et l’image de marque Android - conçoivent des appareils contenant des applications préinstallées qui ne peuvent pas être supprimées (souvent appelées “bloatware”), ce qui peut rendre les utilisateurs vulnérables à la collecte, au partage et à l’exposition de leurs données à leur insu ou sans leur consentement.
« Ces téléphones portent la marque “Google Play Protect”, mais une recherche montre que 91% des applications préinstallées n’apparaissent pas dans Google Play - l’App Store de Google.
« Ces applications préinstallées peuvent avoir des autorisations personnalisées privilégiées qui leur permettent de fonctionner en dehors du modèle de sécurité Android. Cela signifie que les autorisations peuvent être définies par l’application - y compris l’accès au microphone, à la caméra et à l’emplacement - sans déclencher les invites de sécurité Android standard. Les utilisateurs sont donc complètement dans l’ignorance de ces graves intrusions.
« Nous craignons que cela ne rende les utilisateurs vulnérables aux pratiques commerciales d’exploitation des fabricants de smartphones bon marché du monde entier ».
Les signataires affirment que le bloatware Android a un effet néfaste sur la vie privée des utilisateurs. Ils disent que de nombreuses applications bloatware ne peuvent pas être supprimées et exposent les utilisateurs à la collecte de leurs données par des fournisseurs de téléphones et des fabricants d’applications sans scrupules à leur insu ou sans leur consentement.
Les signataires citent une recherche de mars 2018 qui a révélé que l’écosystème Android d’applications préinstallées est un gâchis de confidentialité et de sécurité. Selon la recherche, 91% de toutes les applications préinstallées testées n’étaient pas disponibles sur le Google Play Store officiel.
Cela signifie que la plupart des applications bloatware ne passent pas par le processus de filtrage des applications de Google, ne sont pas examinées pour voir si elles disposent ou non d’autorisations exagérées, ne sont pas vérifiées à la recherche de bogues de sécurité connus ou de logiciels malveillants, et ne peuvent pas non plus être mises à jour via le mécanisme Play Store avec de nouvelles versions pour corrige des bogues et des failles de sécurité.
Les organisations qui ont signé la lettre ouverte estiment que les utilisateurs d’Android sont les plus exposés aux pratiques commerciales d’exploitation des fabricants de smartphones bon marché dans le monde et que la vie privée ne peut être un luxe offert uniquement à ceux qui peuvent se le permettre d’acheter un téléphone cher.
Curieusement, la lettre ouverte a été publiée un jour avant que Malwarebytes ne révèle l’existence de logiciels malveillants inamovibles dans deux applications préinstallées sur des smartphones bas de gamme bon marché vendus à des Américains à faible revenu via un programme subventionné par le gouvernement.
Les signataires demandent à Sundar Pichai de protéger la marque Google en imposant de nouvelles règles aux OEM Android (fabricants d’équipements officiels, alias fabricants de smartphones Android) en termes de type d’applications bloatware qu’ils peuvent préinstaller sur leurs appareils respectifs.
Les trois règles proposées par le groupe sont les suivantes :
Les individus devraient pouvoir désinstaller définitivement les applications de leurs téléphones. Cela devrait inclure tous les services d’arrière-plan connexes qui continuent de fonctionner même si les applications sont désactivées.
Les applications préinstallées doivent passer par le même contrôle que les applications Play Store, en particulier en ce qui concerne les autorisations personnalisées.
Les applications préinstallées devraient avoir un mécanisme de mise à jour, de préférence via Google Play et sans compte d’utilisateur. Google devrait refuser de certifier un appareil pour des raisons de confidentialité, lorsque des fabricants ou des vendeurs ont tenté d’exploiter les utilisateurs de cette manière.
« Nous, les signataires, pensons que ces changements justes et raisonnables feraient une énorme différence pour des millions de personnes dans le monde qui ne devraient pas avoir à troquer leur vie privée et leur sécurité contre l’accès à un smartphone.
« Nous vous invitons à utiliser votre position d’agent influent dans l’écosystème pour protéger les gens et empêcher les fabricants de les exploiter dans une course vers des prix plus bas de smartphones ».
Les signataires de la lettre comprennent des organisations allant des groupes de protection de la vie privée aux universités en passant par des médias, sans oublier des groupes de protection des consommateurs. La liste complète des 53 organisations qui ont signé la lettre ouverte est disponible ci-dessous. Privacy International, le moteur de cette initiative, a également mis en place une page de pétition où les utilisateurs normaux peuvent ajouter leur voix à cette campagne et faire pression sur Google pour qu’il intervienne.
American Civil Liberties Union (ACLU)
Afghanistan Journalists Center (AFJC)
Americans for Democracy and Human Rights in Bahrain (ADHRB)
Amnesty International
Asociación por los Derechos Civiles (ADC)
Association for Progressive Communications (APC)
Association for Technology and Internet (ApTI)
Association of Caribbean Media Workers
Australian Privacy Foundation
Center for Digital Democracy
Centre for Intellectual Property and Information Technology Law (CIPIT)
Citizen D
Civil Liberties Union for Europe
Coding Rights
Consumer Association the Quality of Life-EKPIZO
Datos Protegidos
Digital Rights Foundation (DRF)
Douwe Korff, Emeritus Professor of International Law, London Metropolitan University and Associate of the Oxford Martin School, University of Oxford
DuckDuckGo
Electronic Frontier Foundation (EFF)
Forbrukerrådet // Norwegian Consumer Council
Foundation for Media Alternatives
Free Media Movement (FMM)
Freedom Forum
Fundación Karisma
Gulf Centre for Human Rights (GCHR)
Hiperderecho
Homo Digitalis
IJC Moldova
Initiative for Freedom of Expression- Turkey (IFox)
Irish Council for Civil Liberties
Media Foundation for West Africa
Media Institute of Southern Africa (MISA)
Media Policy and Democracy Project (University of Johannesburg)
Media Policy Institute (MPI)
Media Watch
Metamorphosis Foundation for Internet and Society
Open Rights Group (ORG)
Palestinian Center For Development & Media Freedoms (MADA)
Panoptykon
Paradigm Initiative
PEN Canada
Philippine Alliance of Human Rights Advocates (PAHRA)
Privacy International
Public Citizen
Red en Defensa de los Derechos Digitales (R3D)
Syrian Center for Media and Freedom of Expression (SCM)
TEDIC
The Danish Consumer Council
The Institute for Policy Research and Advocacy (ELSAM)
The Tor Project
Unwanted Witness
Vigilance for Democracy and the Civic State