En fait, ce n’est pas la première fois que les deux entités se penchent sur la question des données stockées sur les smartphones. Une première étude sur le sujet avait ainsi été réalisée en avril 2013 mais elle se concentrait uniquement sur le cas des appareils et des applications iOS, après trois mois d’observation de leur comportement. Une seconde enquête, intitulée Mobilitics « saison 2 » et qui se concentrera sur les appareils Android sera ainsi dévoilée dès lundi matin prochain. Si l’on en croit le communiqué de presse de la CNIL, elle est le fruit de trois ans d’analyse de données « enregistrées, stockées et diffusées par les smartphones ».
Il est d’ailleurs toujours possible de consulter la première enquête sur les applications de l’iPhone sur le site de la CNIL. Elle permet de savoir à quoi s’attendre lundi prochain. On peut y lire : « Le projet Mobilitics a consisté à développer un outil capable de détecter et d’enregistrer les accès à des données personnelles par des applications ou programmes internes du téléphone (accès à localisation, aux photos, au carnet d’adresses, à des identifiants du téléphone, etc.) […]. Concrètement, la CNIL et Inria ont installé cet outil sur 6 iPhones appartenant au laboratoire de la CNIL. Pendant 3 mois, des volontaires de la CNIL ont accepté d’utiliser ces smartphones comme s’ils leur appartenaient. Il s’agit donc d’une démarche expérimentale portant sur un nombre limité d’utilisateurs et d’applications, qui, dans ce contexte déterminé, permet d’étudier dans le temps, l’évolution des accès aux données personnelles. » À l’époque, cette enquête avait permis de mettre en évidence le fait que les applications pouvaient accéder sans véritables barrières à l’identifiant unique de l’appareil, à sa position géographique ou à son carnet d’adresses. Réponse lundi prochain pour savoir ce qu’il en est pour Android.
Oui voilà, une fois la licence vérifiée via internet, l'appli stocke une variable et utilise aussi l'identifiant pour éviter du piratage de base. Par exemple s'il suffisait de stocker la variable à vrai dans un fichier sans identifiant unique, qu'est-ce qui m'empêche de donner ce fichier à tous mes potes afin qu'ils puissent aussi profiter de mon achat ? Avec l'identifiant unique, au moins on se dit voila cet appareil est réglo et pas besoin d'obliger la connexion internet mais pas question non plus de laisser n'importe qui utiliser l'appli gratos. Bien sûr ça n'empêche pas le piratage mais ça limite certains cas de base. Y'a un problème de confiance, c'est vrai mais y'a aussi de l'abus de la part de certains utilisateurs. Forcer la connexion internet est un manque de respect envers les utilisateurs, mais ne pas sécuriser un minimum l'appli c'est aussi laisser tout le monde profiter gratos. Bon on peut jamais savoir si un dev pert de l'argent ou pas à cause du piratage, car ceux qui piratent n'achèteraient pas forcément. Par contre par principe je trouve ça normal d'assurer ses arrières, du moins empêcher les utilisateurs lambda (qui vont pas sur les sites de torrent et autres) de partager n'importe comment. Tu en penses quoi ? :) Cordialement.
Comment veux tu faire une vérification de licence sans passer par Internet ? Mettre tous les identifiants (que ce soit un identifiant unique d'appareil ou un couple hashé login + mot de passe) en dur dans le programme ou un fichier ? Pourquoi les apps ne pourrait pas mettre une variable à vrai quand ils ont vérifié une fois la licence ? Le problème majeur n'est il pas la non confiance de certains développeurs envers les utilisateurs plutôt qu'un soit disant besoin d'identifier une fois de plus ?
Oui c'est intéressant aussi sauf que plus contraignant pour l'utilisateur lambda. Et surtout que ça nécessite une connexion internet. Combien de fois j'ai ragé dans l'avion quand un jeu ne se lançait pas à cause de la licence impossible à authentifier. Je précise que sur un vol de 14 heures ça fait mal de pas pouvoir jouer aux jeux qu'on avait préparé ^^
Plutôt que d'utiliser un identifiant unique utilisable par d'autres apps sans la demande de l'utilisateur, pourquoi ne pas pas utiliser le couple login + mot de passe ? Rien n'empêche ensuite de faire un profil de l'appareil en prenant divers infos (taille de l'écran, résolution, etc). De plus, ça évite de centraliser la vérification via un tiers comme Google.
Non je pense que l'identifiant unique est utilisé pour des raisons moins critiques. Par exemple identifier un appareil simplement et sans exposer trop de données privées. Il peut être intéressant du point de vue du dev de savoir si l'utilisateur utilise le même appareil. Ca permet d'enrichir l'expérience. On peut imaginer une appli d'actualités qui charge des préférences selon l'appareil utilisé. Si un utilisateur a un smartphone et une tablette, et utilise l'appli sur les deux appareils, il se peut qu'il aimerait bien avoir des préférences différentes sur les deux. Donc là le dev peut permettre sauvegarder par appareil et non par utilisateur uniquement. Un exemple concret pourrait bien être un jeu. Sur le smartphone je suis niveau 5 mais sur la tablette je suis niveau 10 et dans les paramètres il y a la possibilité de choisir quel appareil garde quelle sauvegarde. A coupler au cloud ça peut être intéressant :) Pour la licence c'est bel et bien vérifié avec les API Google ou bien avec une vérif de licence directement sur le serveur du dev. Ah oui un autre cas, ça serait le dev qui veut être réglo avec ses utilisateurs. Admettons qu'une appli nécessite une licence genre achat in-app qui débloque la version complète. L'utilisateur achète la licence, et pour éviter une vérif à chaque lancement, le dev décide de mettre les infos en cache et là y'a bel et bien besoin d'identifier l'appareil. Ca permet de lancer l'appli en règle sans avoir besoin de vérif et donc d'internet. Utile quand on voyage. Par contre si l'utilisateur change de téléphone ou d'installation et que l'identifiant unique change, là une vérif de la licence s'impose, et là on passe par les API Google et non l'identifiant unique seulement. Voilà désolé pour le pavé ^^
Je ne sais pas comment était fait l'identifiant unique. Mais si c'est un identifiant unique sur l'appareil et que l'app se base sur ça pour dire si la copie de l'app est légale, alors à un changement d'appareil donc d'identifiant unique de l'appareil, une app avec un tel système reconnaîtrait une copie de l'app installée sur un nouveau appareil comme illégale. J'ai écrit à propos de la licence d'une app, mais ce genre de système peut aussi s'appliquer pour du contenu (musique, vidéos, etc).
Tu peux détailler un peu plus pour la perte de licence ? J'ai crû lire que l'identifiant unique était l'adresse Mac encodée donc en cas de changement de ROM ça devrait rester la même chose non ? Dans tous les cas beaucoup d'applis font une vérif de la licence avec les API Google. L'identifiant unique peut être intéressant d'un point de vue dev car il permet en théorie d'identifier un appareil en particulier, par exemple si l'utilisateur transfert une sauvegarde, l'appli peut savoir si cette sauvegarde provient d'un autre appareil (disons une tablette) et agir en conséquence. Après niveau vie privée je préfère laisser accès à cet identifiant unique plutôt qu'à autre chose.
Si tu changes d'appareil ou de version modifiée de Android, tu aimerais perdre la licence de quelque chose ? L'identifiant unique est aussi génial pour les publicitaires et autres traqueurs...
Ftb
Eux ils n'ont pas le temps de poster ici.
Pour les avoir vu bosser, ils passent plus de temps à profiter des activités externes qu'à sortir de réelles innovations. Pire encore quand ils sont maitre de conf à la Fac, ils font des "recherches" que personnes n'utilise sauf les étudiants qui y sont forcés...
"À l’époque, cette enquête avait permis de mettre en évidence le fait que les applications pouvaient accéder sans véritables barrières à l’identifiant unique de l’appareil, à sa position géographique ou à son carnet d’adresses." Pour le carnet d'adresses je comprends l'appréhension mais pour l'identifiant unique, c'est un peu abusé. Je veux dire que c'est un moyen simple et sans trop de dangers pour l'utilisateur de voir son appareil identifié par l'application, par exemple pour faire une vérif sur la licence. C'est mieux d'exposer cet identifiant que le numéro de téléphone ou autre, non ?
En quoi Inria sont des 'pantouflards' ?
Avec les pantouflards de l'INRIA, Google ne risque rien avec ce rapport :)
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix