Samuel Tardieu @ rfc1149.net

À qui la RATP vend-elle nos informations personnelles ?

,

L’application officielle de la RATP pour Android demande un certain nombre de permissions pour pouvoir être installée :

  • la possibilité de vous localiser : c’est compréhensible pour pouvoir vous guider jusqu’à l’arrêt de transports en commun le plus proche ;
  • l’accès à Internet : indispensable pour récupérer les horaires et les informations à jour ;
  • les informations de contact et l’identité du téléphone : certaines applications les utilisent pour construire un identifiant anonyme, ne permettant pas de vous identifier, mais autorisant le serveur à recouper vos requêtes à des fins statistiques.

Mais c’est une tout autre utilisation que fait la RATP des données collectées sur l’utilisateur : elle les transmet à des publicitaires ! Non seulement elle leur envoie l’identifiant unique du téléphone (l’IMEI), mais elle leur transmet également le numéro de téléphone, la localisation géographique et le nom de l’opérateur téléphonique de l’utilisateur !

Ces informations, parmi autres, sont envoyées au serveur ad.addict-media.mobile-adbox.com à chaque fois que l’application est utilisée :

  • user_position: 48.8283086;2.3462911, ce qui correspond bien à là où je suis actuellement.
  • uphone: +3365970xxxx; c’est moi qui masque le numéro ici, mon numéro complet leur est transmis.
  • imei: 35479504154xxxx; là aussi c’est moi qui masque la fin de mon IMEI.
  • carrier: Free.
  • ugender, uage, uemail, uzip, unick: non renseignés; heureusement, l’application n’a pas réussi à récupérer mes informations de sexe, âge, adresse de messagerie, code postal et pseudonyme.

De plus, toutes ces données sont passées en clair, sans aucun chiffrement. N’importe qui capable de regarder les données qui transitent, par exemple sur un accès Wifi public, pourra récupérer ces mêmes informations personnelles.

Soyons clair : la RATP ne m’a jamais averti qu’elle collecterait et transmettrait des données personnelles comme mon numéro de téléphone à des tiers. La loi Informatique et Libertés a-t-elle été abrogée sans qu’on me prévienne ?

Pour les techniciens, voici les données JSON qui sont envoyées (avec des “xxxx” insérés là où c’est nécessaire) :

{
 "user_position":"48.8283086;2.3462911","ugender":"","test":"",
 "uage":"0","imei":"35479504154xxxx","napp":null,"uemail":"",
 "pid":"4ed37f3f20b4f","alid":"105","uzip":"",
 "osversion":"3.0.8-23301-g5585d2a","lang":"fr-FR","sal":"",
 "network":"na","adpos":null,"time":"Tue Mar 20 15:13:48 HNEC 2012",
 "uphone":"+3365970xxxx","ua":"Mozilla\/5.0 (Linux; U; Android 4.0.3;
           fr-fr; GT-I9000 Build\/IML74K) AppleWebKit\/534.30 (KHTML,
           like Gecko) Version\/4.0 Mobile Safari\/534.30",
 "udob":"","carrier":"Free","longitude":"0.0","latitude":"0.0",
 "freespace":null,"unick":null
}
blog comments powered by Disqus