Rencontre avec des traqueurs de trackers - Émission Le code a changé - France Inter

Logo Exodus Privacy

Titre : Ils cherchent « les trucs bizarres qu’il y a dans vos téléphones » : rencontre avec des traqueurs de trackers
Intervenant·e·s : MeTaL_PoU - Lovis_IX - Xavier de La Porte
Lieu : Émission Le code a changé, France Inter
Date : novembre 2020
Durée : 48 min 46
Écouter le podcast
Présentation de l'émission
Licence de la transcription : Verbatim
Illustration : Logo of Exodus Privacy - Licence publique générale GNU Affero
NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.

Transcription

Xavier de La Porte : Tout a commencé par une phrase lue dans un livre…
« Finalement, des recherches extraordinaires dues à l'association à but non lucratif française Exodus Privacy1 et à Yale Privacy Lab documentèrent la prolifération exponentielle de logiciels de tracking. »
Ça, c’est la phrase. À priori, pas de quoi se taper le cul par terre.
Sauf que c’est la grande Shoshana Zuboff2 qui écrit ça à la page 191 de L’Âge du capitalisme de surveillance, son extraordinaire livre qui vient de sortir en français. Donc comme ça, au détour d’une phrase, Zuboff parle des « recherches extraordinaires » d’une association française dont je n’ai jamais entendu parler : Exodus Privacy.
D’abord je suis vexé. Vexé que Zuboff, depuis ses bureaux de Harvard, connaisse une association française dont je n’ai pas entendu parler, mais, passé la blessure d’orgueil, ça me rend curieux. Qu’est-ce que cette association fait de si extraordinaire pour que Shoshana Zuboff la mentionne dans un livre qui est, sans doute, un des plus grands livres critiques écrits sur l’économie numérique ?
Je résume comment Zuboff en vient à parler d’Exodus Privacy. À ce moment du livre, elle est en train de raconter avec force détails comment Google a été le pionnier du capitalisme de surveillance. Comment Google a imposé au monde ce modèle économique qui consiste à vendre à des annonceurs des profils de consommateurs les plus fins possible, profils élaborés en surveillant donc les comportements numériques des internautes. Et Zuboff raconte notamment le rôle joué par Android dans tout ça. Android c’est le système d’exploitation de smartphone de Google. Aujourd’hui il équipe à peu près 85 % des smartphones du monde soit plus de deux milliards. Or, les gens qui ont des téléphones sous Android téléchargent des applications dans Google Play, le magasin d’applications de Google, et ces applications sont pleines de logiciels qu’on appelle des trackers ou pisteurs ou traceurs en français, donc des petits programmes qui sont fabriqués précisément pour récolter des données sur nous et nos comportements.
Ces pisteurs, on ne les voit pas. On ne sait pas qu’ils sont là dans des applications anodines, celles que je télécharge par exemple pour avoir la météo, une application de drague, celle d’un journal ou un jeu gratuit pour les enfants. Et pourtant, ils sont l’outil d’extraction des données personnelles qui vont ensuite nourrir le capitalisme de surveillance. Et c’est là où Exodus Privacy intervient. Ce qu’on comprend en lisant Zuboff c’est que l’association déniche des pisteurs dans les applications d’Android.

Exodus Privacy, ce sont des trackers de trackers.
Évidemment ça m’intrigue. Qui sont les gens qui font ça ? Comment s’y prennent-ils ? D’ailleurs c’est quoi, vraiment, un pisteur ? Comment ça marche ? Est-ce qu’on peut échappe à ces pisteurs ?
Évidemment, ni une ni deux, je joins la présidente actuelle d’Exodus Privacy, qui porte le pseudo rigolo de MeTaL_PoU et, quelques semaines plus tard, voici MeTaL_PoU qui vient jusqu’à la Maison de la radio, accompagnée d’un autre membre, historique lui, de Exodus Privacy qui a le pseudo, rigolo aussi, de Lovis_IX, et tous les deux me racontent comment ils sont devenus des pisteurs de pisteurs, comment a commencé l’histoire d’Exodus Privacy.

Lovis_IX : C’est né à l’été 2018 si mes souvenirs sont bons.

MeTaL_PoU : 2017.

Lovis_IX : 2017, pardon, par un article de Numerama qui parlait des pisteurs, justement, dans les applications des magazines, sans péjoration de ma part, féminins – Closer, Biba, ce genre de choses – qui étaient effectivement bourrés de pisteurs. L’une des fondatrices de l’association a regardé ça et s’est dit « et dans les autres applications ? ». Elle en a pris au hasard, elle s’est rendu compte qu’il y en avait énormément et elle a lancé sur Mastodon3 un appel en disant « j’ai vu des trucs phénoménaux, qui vient m’aider ? » Et on s’est retrouvés sur IRC – moi je suis arrivé le deuxième ou le troisième jour, d’autres étaient déjà là – à décortiquer ce qu’on voyait. Et puis, dans la semaine on a, elle, soyons vrais, a codé l’embryon de plateforme pour pouvoir faire les analyses que l’on fait actuellement.

Xavier de La Porte : Tiens, c’est drôle ça ! Donc à l’initiative de tout ça il y a une femme, ce n’est pas si courant dans le monde techno. En faisant quelques recherches pas très compliquées, je vois qu’elle s’appelle Esther, parce qu’elle est souvent mentionnée dans les textes d’Exodus Privacy et j’ai l’impression qu’elle en est comme une sorte de figure tutélaire. Lovis_IX m’explique pourquoi.

Lovis_IX : Quand on discutait d’une nouvelle fonctionnalité ou de quelque chose qui n’allait pas, on se disait « on voit ça demain parce qu’il est déjà 23 heures 30 », mais elle continuait à coder dans la nuit et le lendemain matin c’était fait. Donc effectivement, sa figure est assez importante dans l’association.

Xavier de La Porte : Note pour plus tard : rencontrer Esther, si elle est d’accord bien sûr.
Au départ, donc, il y a Esther, mais les autres c’est qui ? À ce que vient de dire Lovis_IX, on peut un peu le deviner. Au départ il y a un article4 de Numerama, vénérable site d’information spécialisé dans les technos, Mastodon où Esther lance le premier appel, c’est un réseau social de microblogging un peu dans le genre de Twitter, mais en version plus conforme à l’esprit originel du Web, par exemple il n’y a pas de publicité, et puis IRC où se retrouvent les premiers membres pour discuter, eh bien c’est un protocole de discussion historique de l’Internet bien avant MSN et compagnie, qui est toujours prisé par les tenants de l’esprit premier de l’Internet.
Donc si je comprends bien, au départ Exodus Privacy ce sont de bons vieux geeks, tels qu’on les aime.

Lovis_IX : Tout à fait. Ce sont des activistes.

Xavier de La Porte : Des activistes de quoi ?

Lovis_IX : De la vie privée. Ce qui nous importe c’est la vie privée des gens, qu’ils puissent en conserver un peu.

Xavier de La Porte : Et MeTaL_PoU alors, comment s’est-elle retrouvée embarquée là-dedans ?

MeTaL_PoU : Moi, en fait, je suis arrivée plus tard, je suis arrivée à peu près six mois après les débuts de l’association. J’étais bibliothécaire et j’avais organisé un atelier de sensibilisation à la vie privée où justement Esther était venue présenter le travail d’Exodus Privacy.

Xavier de La Porte : Toujours Esther.

MeTaL_PoU : Voilà ! Et les bras m’en étaient tombés, puisqu’on dit toujours « oui, on sait qu’on est pisté, etc. », mais quand on gratte un peu on se rend compte que c’est quand même une proportion absolument énorme. Donc quelques mois après, quand l’association a fait passer, justement sur les réseaux sociaux, le fait qu’elle souhaitait recruter des bénévoles et qu’il n’y avait pas de prérequis technique, du coup j’ai franchi la porte, je suis allée à une première réunion et six mois après je devenais la présidente de l’association.

Xavier de La Porte : OK. Mais une association dont on devient présidente six mois après y être entrée, ça ne doit pas être énorme. Aujourd’hui, trois ans après sa création, alors même que la grande Shoshana Zuboff parle de son travail extraordinaire, Exodus Privacy c’est combien de membres ?

Lovis_IX : C’est difficile à dire. On est une dizaine de personnes vraiment actives. Par contre, comme la cotisation de l’association est d’un montant faramineux de 0 euro, en fait on ne sait pas combien on est. Il y a des gens qui adhèrent en nous envoyant un mail, en disant « je veux adhérer à l’association » et qui nous aident, et d’autres qui sont sympathisants parce qu’on sait qu’ils sont là, éparpillés.

Xavier de La Porte : Vous êtes éparpillés.

Lovis_IX : Totalement. On a une communauté assez extraordinaire.

MeTaL_PoU : Comme on ne fait que du logiciel libre et que tous nos supports, etc., sont sous licence libre, sont accessibles en ligne, modifiables en ligne, améliorables en ligne, on a donc toute une communauté qui gravite autour de nous, qui nous file des coups de main sans forcément être membre de l’association. Une fois on avait un billet de blog en français qu’il fallait traduire en anglais. On avait juste passé un message sur Twitter avec le lien vers un pad, un fichier de texte collaboratif, et en deux heures le billet de blog était traduit, relu et avec plusieurs propositions sur certains mots où tout le monde n’était pas d’accord.

Xavier de La Porte : En écoutant MeTaL_PoU raconter ça, je me dis qu’il y a encore des beautés dans Internet. Et dans un Internet qui n’est pas loin de celui qu’on fréquente tous puisque quand Exodus Privacy cherche de l’aide pour traduire un texte, c’est sur Twitter que l’association lance un appel, le même Twitter que celui qui, bien souvent, nous déprime.
Quand on regarde, sur le site de l’association, qui soutient Exodus, c’est marrant parce qu’on reconnaît certains acteurs de la communauté du logiciel libre français : Gandi5 les hébergeurs, les activistes du Libre de Framasoft6 par exemple. En fait, c’est un tout petit monde, mais c’est un monde super actif qui essaie de garder vivantes les utopies premières de l’Internet et du Web, tout en s’adaptant aux problématiques les plus contemporaines. En fait ça m’émeut un peu, j’avoue, de constater qu’Exodus est reliée à tout ce monde. Je me pose d’ailleurs la question du nom de l’association, Exodus Privacy, je trouve ça assez beau. Je demande à Lovis_IX ce que ça évoque.

Lovis_IX : C’est vrai que c’est joli. L’exode de la vie privée.

Xavier de La Porte : Bon ! Exodus, moi ça me fait surtout penser aux bateaux qui, au sortir de la Deuxième guerre mondiale, avaient transporté des Juifs vers la Palestine, élément fondateur de la création de l’État d’Israël, et qui a donné lieu au film de Otto Preminger.

Voix off : Otto Preminger presents Exodus. The biggest best-seller since Gone With the Wind, read by more than fifteen millions around the world. Now on the screen, an epic of our time. The birth of a legend.

Xavier de La Porte : Pas sûr qu’il y ait de rapport direct.
Revenons au travail d’Exodus Privacy parce qu’un truc m’intrigue. Exodus Privacy piste les pisteurs qui sont dans les applications. OK ! Mais l’association ne le fait que pour les applications qui tournent sur les téléphones équipés d’Android, le système d’exploitation de Google. Pourquoi Exodus ne fait pas le même travail pour les applications qui tournent sur iOS, le système d’exploitation des iPhones ? Pourquoi donc se limiter à Google et ne pas aller voir ce que fabrique Apple ?

Lovis_IX : C’est une question juridique. Les applications qui sont sur l’App Store, donc les applications iOS, sont signées numériquement par un certificat émis par Apple ; de fait elles appartiennent à Apple. Donc essayer de voir ce qu’il y a dedans c’est s’attaquer à Apple. Personnellement je n’ai pas les moyens. Il y a quand même plus d’avocats que des développeurs chez Apple, donc je ne risque pas !

Xavier de La Porte : Alors que sur Android ?

Lovis_IX : Alors que sur Android on n’a pas cette contrainte et, en plus, on utilise un outil qui est fourni par Google.

Xavier de La Porte : À savoir ?

Lovis_IX : Cet outil, qui s’appelle DexDump, est utilisé pour créer les applications et peut être utilisé aussi dans notre démarche, qui n’est, attention, je le dis et je le précise, pas une décompilation.

Xavier de La Porte : C’est-à-dire ?

Lovis_IX : C’est-à-dire qu’on n’a pas le droit de partir de l’application et d’essayer de retrouver le code source ; c’est du reverse engineering et c’est interdit si on n’est pas chercheur. Et nous ne sommes pas chercheurs.

Xavier de La Porte : Vous avez le droit de faire quoi alors ?

MeTaL_PoU : Moi j’aime bien prendre la métaphore du livre, c’est-à-dire que nous on n’a pas le droit d’aller voir le contenu du livre, par contre on a le droit de regarder le sommaire, c’est ce qu’on appelle les classes Java. On va pouvoir comparer, justement, ces titres du sommaire à des signatures de pisteurs qu’on connaît déjà et ça veut dire que le pisteur est embarqué dans l’application.

Xavier de La Porte : Alors ça, c’est hyper important. Bon ! Déjà, on n’a pas le droit d’accéder au code source d’une application par quelque méthode que ce soit, c’est une question de propriété intellectuelle. Donc Exodus Privacy doit se contenter des classes Java, une sorte de sommaire de l’application, pour reprendre l’analogie de MeTaL_PoU. Mais avoir accès aux classes Java d’une application c’est possible avec les applis qui tournent sur Android, pas avec celles qui tournent sur iOS, le système d’exploitation de Apple.
La raison de cette différence tient à l’histoire de ces deux systèmes d’exploitation. Quand Google a décidé de se lancer sur le marché des smartphones, la boîte avait déjà du retard sur Apple dont l’iPhone était commercialisé avec son système d’exploitation iOS.
Google a choisi une autre stratégie. Pas fabriquer des téléphones mais juste un système d’exploitation, Android, qui pourrait être utilisé par tous les fabricants de téléphones qui le demandent. Encore mieux ! Alors que iOS est cadenassé, le noyau d’Android est open source ce qui facilite la tâche aux développeurs du monde entier pour fabriquer des applications. C’est un choix stratégique extrêmement malin et qui a porté ses fruits, c’est le moins qu’on puisse dire. Android est aujourd’hui le système d’exploitation d’environ 85 % des smartphones qui sont en circulation dans le monde. Ce qui signifie qu’à peu près deux milliards de personnes vivent dans l’univers de Google, parce qu’il faut se créer un compte Google pour que le téléphone marche. Il est pré-équipé d’applications de Google ou choisies par Google, qu’on ne peut pas désinstaller. Les gens téléchargent de nouvelles applications sur Google Play et, pour peu qu’ils utilisent Chrome pour aller sur le Web depuis leur téléphone, Search pour faire des recherches, Gmail pour leur courrier et Drive pour partager des documents, eh bien ils vivent numériquement dans l’univers de Google. Un univers qui, brique par brique, a été élaboré pour fournir à Google la ressource dont il a besoin : les données qu’il va ensuite revendre aux annonceurs.
Mais il y a un truc que je ne comprends pas là-dedans. En mettant au jour les traceurs qu’il y a dans les applications qui tournent sur Android, les gens d’Exodus Privacy s’attaquent à un outil stratégique de cet écosystème. Ils s’attaquent à des programmes qui sont glissés dans des produits que Google distribue sur Google Play. Donc, d’une certaine manière, ils s’attaquent à Google, enfin c’est ce que je comprends. En plus, ils utilisent pour ça un outil qui vient de Google, DexDump dont parlait Lovis_IX et qui sert à avoir accès aux classes Java de l’application.
Bref ! Pour le dire vite, je trouve ça super bizarre que Google les laisse faire ça.

Lovis_IX : Ce n’est pas forcément bizarre parce que, en fait, on fait presque une partie de leur boulot et on leur pique une partie de leur boulot, si on y réfléchit.

Xavier de La Porte : Je ne comprends pas.

Lovis_IX : Il vit de quoi Google ? De la pub. Si on dit que telle application a 25 pisteurs de pub, c‘est de la pub qui ne rentre pas dans la poche de Google finalement. Donc virer ces applications parasites, ce n’est pas forcément mauvais pour Google.

MeTaL_PoU : Oui. Moi je verrais les choses différemment. Je pense que, vu notre échelle, on ne représente absolument pas une menace !

Lovis_IX : On est trop petits. On a l’air connu, mais…

MeTaL_PoU : C’est ça !

Xavier de La Porte : Vous croyez qu’un jour Google pourrait vous dire arrêtez de faire ça ?

MeTaL_PoU : En tout cas nous on a tout fait, justement, pour être hyper rigoureux au niveau juridique. Normalement on est relativement bien protégés de ce point de vue-là. Après, on verra bien ce que l’avenir nous réserve.

Lovis_IX : C’est aussi pour ça qu’on s’est constitué en association, pour que ce soit l’association qui soit attaquée et pas les gens individuellement.

Xavier de La Porte : Donc la question de savoir jusqu’à quand Google les laissera faire ça, ce n’est pas si absurde que ça. L’air de ne pas y toucher Exodus Privacy s’attaque quand même à une zone critique de l’économie numérique.
Justement, depuis tout à l’heure on parle des traqueurs comme si c’était une évidence. J’avoue que je ne sais pas hyper bien comment ça marche. Or, je pense que pour comprendre pourquoi le travail d’Exodus Privacy est à la fois si important et si sensible, il faut comprendre comment fonctionnent ces traqueurs. Donc un pisteur c’est un petit programme placé dans une application. OK ! Mais qu’est-ce qu’il fait vraiment ? Et ça, c’est MeTaL_PoU qui nous l’explique.

MeTaL_PoU : Le but du tracker c’est de collecter de la donnée. Ça peut être aussi bien des données à caractère personnel, donc ça peut être par exemple de la géolocalisation, un identifiant unique, des choses comme ça, et puis ça peut être des données d’usage, par exemple l’application ne fonctionne pas bien sur tel modèle de téléphone. Donc, dans l’application, on va se retrouver avec des bouts de code qui font, on va dire, le métier de l’application, par exemple une application de météo c’est donner la météo et, à côté de ça, il va y avoir potentiellement des pisteurs qui vont faire d’autres choses, par exemple collecter la géolocalisation et l’envoyer à une régie publicitaire.

Xavier de La Porte : Par exemple celle de Google ?

Lovis_IX : Non, pas celle de Google. Google a d’autres moyens pour avoir ces informations. Par exemple Criteo, Teemo, il y en a tellement, Facebook. On a combien ? 323 pisteurs, à la base.

MeTaL_PoU : Oui. Et ce n’est jamais fini !

Lovis_IX : Ça paraît peu comme nombre comme ça ! Maintenant les récolter, vérifier qu’ils fonctionnent et que c’est bien ça, c’est un autre travail.

Xavier de La Porte : Donc voilà. Quand on utilise une application qui a des pisteurs, sans le savoir, dès qu’on lance l’application on se connecte avec plein d’acteurs qui n’ont rien à voir avec l’application et à qui sont envoyées des informations.
Pour me figurer le truc, je passe par une analogie. Rappelons-nous l’ancien monde où, avant de tout faire depuis notre téléphone, on avait, je ne sais pas, un plan papier pour se diriger dans la ville, un guide de restaurants, un appareil photo, des jeux de société, des journaux, des livres de cuisine, un agenda, etc. Quand on utilisait ces objets personne, à part notre entourage, n’en savait rien.
Aujourd’hui, quand je cherche une recette dans Marmiton, des trackers le savent et le balancent à des entreprises que ça intéresse. D’autres pisteurs voient dans mon appli agenda ce que je fais, qui je vois, à quelle heure, etc. Les pisteurs qui sont dans l’application de mon journal préféré savent quels articles je lis, à quelle heure. Les pisteurs de mon appli de navigation savent où je suis, où je vais, à quelle heure. Etc. Et je pourrais multiplier les exemples à l’infini.
Mais, si je comprends bien, il y a quand même des bons pisteurs et des mauvais pisteurs ; des pisteurs qui servent au bon fonctionnement de l’application elle-même, par exemple à faire remonter un bug, et puis d’autres pisteurs qui sont juste là pour envoyer ces informations à des régies publicitaires.
Est-ce que ça veut dire qu’Exodus Privacy considère qu’il y a une légitimité de certains pisteurs ?

MeTaL_PoU : Notre parti pris c’est de ne pas répondre à cette question parce qu’on veut laisser aux personnes le loisir de choisir, justement, si elles considèrent qu’un pisteur est légitime ou pas. Il suffit de voir le rapport du grand public à la publicité ciblée. Il y a des personnes que ça rebute alors qu’il y a des personnes qui trouvent ça plutôt cool d’avoir des publicités qui sont liées à leurs besoins, etc. Du coup, nous on n’est pas là pour juger de ce que les personnes pensent.

Xavier de La Porte : Enfin, vous faites quand même un travail qui est, d’une certaine manière, politique.

Lovis_IX : Oui, c’est certain. Mais on ne veut pas influencer le grand public, on veut simplement lui dire « attention il y a des choses bizarres dans ta poche ».

Xavier de La Porte : OK ! Je comprends la logique. Après tout, la distinction entre pisteur légitime et pisteur illégitime relève de ce qu’on pourrait appeler une subjectivité politique. Si je considère que le fait de recevoir de la publicité ciblée, au prix d’une captation de mes données, n’est pas un problème, les pisteurs qui le permettent sont légitimes. On peut voir les choses comme ça.
Mais ces choses bizarres dans ta poche, comme dit Lovis_IX, elles sont mises là par qui ? Je vais poser la question autrement : quand on passe quelques applications très courantes au crible de l’outil d’Exodus Privacy qui permet donc de voir les pisteurs que contient chaque application, le premier nom qui saute aux yeux c’est Facebook. On a l’impression que les pisteurs de Facebook – Facebook Ads, Facebook Analytics – sont partout. Je demande donc à MeTaL_PoU si on peut dire que Facebook est un des grands acteurs du tracking.

MeTaL_PoU : En tout cas ce sont les pisteurs qui apparaissent le plus régulièrement avec les pisteurs de Google, avec des exemples qui sont assez savoureux, par exemple une application qui s’appelle Baby + qui est une application de suivi de grossesse et de suivi de maternité. Notre bébé vient de naître et, en fait, on note sur cette application « je l’ai allaité à telle heure, il s’appelle comme ça, etc. » Et toutes ces données partent chez Facebook, donc avec si le bébé est allaité, son nom, son genre, est-ce que c’est sa mère qui remplit, justement, sur l’application ces données-là, etc. Ça veut dire que, pour Facebook, ce bébé a déjà une existence.

Xavier de La Porte : Indépendamment du fait que les parents aient un compte Facebook ?

MeTaL_PoU : Tout à fait. C’est collecté avec un identifiant publicitaire qui est spécifique au téléphone et qui est complètement distinct du fait d’avoir un compte Facebook ou pas.

Xavier de La Porte : Que fait Facebook de ça ?

Lovis_IX : En fait, l’enfant a un compte fantôme avec des tas de choses que les parents ont envoyées de façon innocente, on va dire. Le jour où l’enfant ou la personne adulte crée son compte c’est rattaché immédiatement.

MeTaL_PoU : Facebook collecte énormément de choses, par exemple ces données-là sur Baby + et puis, sur une autre application, ils vont collecter d’autres données, par exemple la date de naissance, et ça va permettre, après, de faire des croisements.

Xavier de La Porte : Il n’y a que Facebook qui fait ça ?

Lovis_IX : On n’a aucune preuve, mais je pense que tous le font.

Xavier de La Porte : Alors là, on est au cœur du sujet. Voilà à quoi ça sert de pister quelqu’un. Ça sert à le transformer en un profil qui va être vendu aux annonceurs qui veulent cibler le plus précisément possible leurs publicités. Ce qui est dingue dans ce que raconte MeTaL_PoU, c’est qu’en mettant des pisteurs partout, Facebook arrive non seulement à pister des gens qui ne sont pas sur Facebook, mais même des humains qui ne sont pas encore nés.
Lovis_IX dit « tous le font ». Mais c’est qui « tous ». Moi, quand je regarde qui place ces traceurs dans les applications, bon !, je reconnais évidemment des entreprises. Facebook dont on vient de parler, Amazon, Twitter, Criteo la boite de ciblage publicitaire française qui fait la fierté de la startup nation, ça je connais, mais il y a plein d’autres pisteurs qui ont des noms qui ne m’évoquent rien du tout.

Lovis_IX : Il y a aussi des sociétés qu’on ne connaît pas forcément qui agrègent toutes ces données pour les revendre. Qui récupèrent des petits morceaux à droite et à gauche et, avec toutes ces données, on obtient un être virtuel. Plus cet être est constitué, on va dire plus on a de données sur lui, plus il vaut cher.

Xavier de La Porte : Là, il faut faire une précision. L’identifiant publicitaire dont parle Lovis_IX et dont parlait déjà MeTaL_PoU tout à l’heure, je crois, c’est un identifiant unique et anonyme qui est attribué à chaque téléphone qui tourne sur Android. Et son but, d’après ce que je comprends, c’est de permettre aux développeurs d’applications et à Google, évidemment, de créer des profils d’utilisateurs, en théorie anonymes, pour diffuser de la publicité ciblée sur le téléphone en question.
J’en reviens aux acteurs qui ont des pisteurs. Si je comprends bien toujours, ils sont de types différents. Il y a ceux comme Google, Facebook ou Amazon qui sont à la fois des plateformes, des entreprises de ciblage publicitaire et des régies publicitaires. Bon ! Il y en a d’autres qui ne sont que des entreprises de ciblage. Et puis il y en a d’autres encore qui se contentent de fournir des données à des entreprises qui vont les transformer en profils ou qui vont les vendre encore à d’autres entreprises, on appelle ça les data brokers c’est-à-dire les courtiers en données personnelles. Tout ça, au fond, ça dessine un univers assez compliqué, avec des acteurs plus ou mois crades mais qui se jettent tous sur la même ressource, les données qu’on fournit via nos téléphones et les applications qu’on y télécharge. Et le but de tout le monde est le même : savoir ce qu’on veut et ce qu’on est pour, en bout de chaîne, vendre de la pub.
Mais là j’ai une question technique. Ces pisteurs placés dans les applications, comment ils s’activent ? Est-ce qu’ils s’activent tout seuls quand l’application se met en marche ou est-ce qu’il faut qu’ils soient activés par l’entreprise qui les a créés ?

MeTaL_PoU : Ça dépend.

Lovis_IX : Certains fonctionnent automatiquement, par défaut, et d’autres sont très vicieux.

Xavier de La Porte : Racontez-moi ce qu’est un traqueur vicieux.

Lovis_IX : Il y a des pisteurs qui ne se mettront en route qu’au bout de 30 secondes d’utilisation de l’application.

Xavier de La Porte : Quel est l’intérêt de ça ?

Lovis_IX : L’intérêt c’est justement d’éviter les gens qui essayent de le repérer en lançant l’application.

Xavier de La Porte : Ah !

Lovis_IX : Il y en d’autres qui attendent un certain temps et vont chercher sur le site du fournisseur des instructions : est-ce que je me lance ? Est-ce que je ne me lance pas ? Est-ce que j’ai une campagne toute prête pour les gens du type de ceux qui possèdent ce téléphone ?, les CSP+ [catégories socio-professionnelles les plus favorisées], etc. Donc deux personnes avec le même téléphone, les mêmes applications, peuvent avoir, ou pas, la pub.

Xavier de La Porte : OK ! Ça c’est pour les pisteurs. Mais quand on se sert de l’outil développé par Exodus Privacy et qu’on regarde ce que contiennent les applications, n’apparaissent pas seulement les pisteurs, il y a aussi les permissions. Exodus Privacy nous donne, pour chaque application, le nombre de permissions qu’il y a dans l’application. Si je passe, par exemple, l’application de Météo-France au crible de l’outil d’Exodus Privacy, eh bien elle va me répondre qu’il y a 20 et quelques traceurs et 14 permissions. J’aimerais bien savoir ce que sont ces permissions et pourquoi ça semble, à l’association, un problème.

MeTaL_PoU : Les permissions ce sont un peu les accès donnés au téléphone, que ce soit des accès matériels, par exemple à l’appareil photo, au micro, mais aussi l’accès à ce qui est enregistré sur le téléphone, par exemple les photos.

Xavier de La Porte : Ça veut dire que quand vous téléchargez une appli vous donnez des permissions, sans le savoir, qui sont, par exemple, celle d’avoir accès à vos photos ?

Lovis_IX : Sans le savoir, non.

Xavier de La Porte : Pourquoi non ?

Lovis_IX : Désormais Android fait en sorte que l’application demande l’autorisation à l’utilisateur.

Xavier de La Porte : D’accord. Elle vous dit « Est-ce que vous m’autorisez… ? »

Lovis_IX : « Est-ce que tu m’autorises à aller voir les photos ? »

Xavier de La Porte : D’accord.

Lovis_IX : Et souvent on dit oui. Une fois qu’elle a accès aux photos qu’est-ce qu’elle en fait ?

MeTaL_PoU : En plus, c’est encore plus pernicieux que ça parce que les demandes d’autorisation ne concernent que les autorisations qui sont considérées comme dangereuses par Google. C‘est là où on voit la petite fenêtre s’ouvrir : « Cette application a besoin d’accéder à votre appareil photo, etc. », et c’est là où, normalement, on est censé pouvoir refuser avec, en effet, cette limite que dès fois, si on refuse, en fait l’application ne fonctionne pas. Ça c’est Google qui décide suivant des considérations, des critères qu’on ne connaît pas.

Xavier de La Porte : Alors ça c’est extraordinaire ! C’est-à-dire que pour avoir accès à certains éléments de notre téléphone, les applications demandent une autorisation, mais c’est Google qui décide de ce qui nécessitera notre assentiment explicite et de ce qui ne nécessitera pas notre assentiment explicite. Ça c’est dingue ! Il y a donc des autorisations qui sont automatiques. Je demande à MeTaL_PoU si elle a un exemple de ces autorisations qu’on donne aux applications sans même le savoir.

MeTaL_PoU : Par exemple une des autorisations pour laquelle le créateur de l’application n’a pas besoin, justement, d’autorisation c’est pour accéder à l’ensemble des applications installées sur le téléphone. Il a accès à ça de toute façon. On sait bien que quand on observe le téléphone de quelqu’un, qu’on voit les applications qui sont installées, on peut deviner plein de choses. On peut deviner la composition familiale, on peut deviner où cette personne habite, en effet son orientation sexuelle, des fois sa religion, ses opinions politiques, etc.

Xavier de La Porte : Donc un traceur placé dans une application peut avoir accès à la liste de toutes les applications que j’ai dans mon téléphone, juste que parce que Google l’autorise à avoir cette information, tout ça sans que je le sache, bien évidemment. Je trouve ça complètement abyssal !
Une question me taraude. Quand je vois qu’une application comme celle de Météo-France, mais il y en a plein d’autres, est pleine de traceurs et de permissions, je me demande qui les as placées là. Pourquoi des traceurs de Facebook, d’Amazon, de Criteo et d’autres encore se retrouvent dans une application développée par une entreprise de service public et dont le but est, quand même, juste de dire le temps qu’il fait ?

Lovis_IX : Prenons un exemple tout simple : une application qui a besoin de géolocalisation. Il y a deux méthodes : ou je lis la documentation pendant quatre heures et je la code moi-même ou je prends un truc tout fait que je mets dans mon application sans savoir ce qu’il y a dedans. Et dedans, il y a peut-être des pisteurs.

Xavier de La Porte : Ce que vous dites-là c’est, en fait, que les développeurs d’applications ne codent pas toute l’application de A à Z, ils vont récupérer des morceaux sans savoir vraiment ce qu’il y a dedans.

Lovis_IX : Parce que c’est un problème économique. Quand votre chef vous dit « il me faut une application qui fasse ça pour vendredi soir » et qu’on est mardi matin, vous n’avez pas le temps de lire la documentation, ce n’est pas un manque de volonté, c’est un manque de temps.

Xavier de La Porte : Donc il va sur une bibliothèque chercher le truc.

Lovis_IX : Donc il va chercher sur Internet une bibliothèque qui fait le truc qu’il veut et il met des trucs autour.

Xavier de La Porte : Et en fait, dans le truc qu’il veut, il peut y avoir un traqueur.

Lovis_IX : Ou 10 ou 20, sans qu’il le sache parce qu’il n’a pas le code, il ne va pas analyser ça, il n’a pas non plus le temps.

Xavier de La Porte : OK. Donc là on frise la dinguerie. Ça veut dire que les traceurs ne sont pas toujours intentionnellement placés dans les applications. Ils se baladent dans des morceaux de code. Ça veut donc dire que les gens qui fabriquent ces petits programmes profitent d’une économie de la programmation informatique qui fait que les développeurs, toujours sous pression, n’ont pas le temps d’aller vérifier exactement ce qu’ils mettent dans leurs programmes. Peut-être qu’ils s’en foutent d’ailleurs. Parce que maintenant qu’il y a des plateformes de type Exodus, ce n’est quand même pas très compliqué de vérifier.
D’ailleurs quand ils s’en rendent compte, qu’est-ce qu’ils font les éditeurs d’applications ?

MeTaL_PoU : Il y a plein de créateurs d’applications qui ne répondent pas, mais il y en a qui répondent du coup en justifiant et, des fois, en améliorant l’application. On a quelques exemples, comme ça, de personnes qui nous ont répondu « non, non, on n’a pas de pisteurs dans notre application ». On leur a donné des preuves et, du coup, ils se sont retournés vers le prestataire qui avait créé l’application, qui a dit « en fait, peut-être que si ». Du coup, on a quelques exemples comme ça de nouvelles applications, de nouvelles versions d’applications où il n’y avait plus forcément zéro pisteur mais, en tout cas, beaucoup moins, par exemple des pisteurs Facebook en moins, des choses comme ça.

Xavier de La Porte : Ce qui est assez incroyable dans ce que raconte MeTaL_PoU, c’est la négligence à la fois des développeurs – Lovis_IX a expliqué pourquoi ils étaient négligents –, mais surtout des éditeurs d’applications qui ont l’air de s’en foutre un peu de qu’il y a vraiment dans leurs applis. Si on y réfléchit deux minutes, ça veut dire que un des maillons techniques essentiels de ce que Zuboff appelle le capitalisme de surveillance, à savoir les pisteurs, repose sur la négligence. C’est quand même dingue !
J’imagine qu’il y a aussi beaucoup d’intentionnalité là-dedans, d’abord parce qu’il faut bien que quelqu’un ait placé les pisteurs dans ces morceaux de code fonctionnels qui se baladent dans les bibliothèques. Est-ce qu’il y a des gens qui sont payés pour ça, placer des pisteurs dans les bibliothèques ? Ça je ne sais pas. Ensuite, il y doit y avoir des éditeurs d’applications qui savent très bien qu’il y a plein des pisteurs dans leur appli parce qu’ils ont été placés là à dessein, parce que, d’une manière ou d’une autre, l’éditeur de l’application a quelque chose à y gagner. D’ailleurs je me pose une question : quels sont les types d’applications dans lesquelles on trouve le plus de traceurs ?

Lovis_IX : Je crois que ce sont les jeux qui arrivent en premier.

MeTaL_PoU : Oui. Les jeux sont pas mal.

Xavier de La Porte : C’est-à-dire qu’ils peuvent avoir jusqu’à combien ? 40, 50 ?

Lovis_IX : Ça non. C’est plutôt Marmiton.

Xavier de La Porte : Marmiton ?

Lovis_IX : Oui, Marmiton a été notre vainqueur plusieurs fois.

MeTaL_PoU : Je crois qu’ils ont diminué sur les nouvelles versions.

Xavier de La Porte : Expliquez-moi. Pourquoi Marmiton ?

MeTaL_PoU : Ça appartient au groupe aufeminin. Globalement les applications du groupe aufeminin ont en général pas mal de pisteurs.

Xavier de La Porte : Oui, donc un retour aux sources. Puisqu’on s’en souvient, c’est par un article paru dans Numerama sur les pisteurs dans les applis du groupe aufeminin qu’avait commencé l’aventure d’Exodus.
Bon ! Deux remarques. D’abord, si trois ans après la création d’Exodus Privacy le groupe aufeminin est toujours très bien placé dans les applis pleines de traceurs, ça veut dire qu’il y a encore du boulot pour que les choses changent. Ensuite ce groupe, comme son nom l’indique, aufeminin, vise une population féminine, même si moi, par exemple, je vais très souvent sur Marmiton, mais bon , je n’ai pas téléchargé l’appli, je passe par le Web. On peut imaginer que c’est un public plutôt féminin qui est visé, en tout cas considéré comme ça par les annonceurs. Je me demande s’il n’y a pas un sens à ça, parce que l’autre domaine où il y a beaucoup de pisteurs ce sont les jeux gratuits, comme le disaient MeTaL_PoU et Lovis_IX, qui sont souvent utilisés par les enfants.

Lovis_IX : C’est une horreur, c’est absolument une horreur. Ça devrait être totalement interdit sur des jeux pour des enfants. Traquer des enfants comme ça, ce n’est pas…

Xavier de La Porte : C’est quoi comme types de traceurs que vous trouvez dans ces applis ?

Lovis_IX : C’est toujours la même chose, de la publicité ciblée, le petit bandeau « si tu cliques maintenant tu as 20 minutes de Spotify gratuites ».

Xavier de La Porte : Quand il dit ça, Lovis_IX fait, je crois, référence à ce qu’on appelle en marketing digital le real time bidding, RTB, c’est l’acronyme, c’est-à-dire que c’est un système d’enchères en temps réel, comme son nom l’indique, qui repose sur l’hyper-personnalisation de la pub. C’est-à-dire que la publicité qui va s’afficher est négociée et délivrée en quelques fractions de seconde en fonction des profils qui ont été élaborés grâce aux pisteurs. Là, on peut difficilement plaider que les pisteurs soient non intentionnels.
Ce dont je n’ai aucune idée en revanche, c’est la forme de l’économie qu’il y a derrière. Est-ce que les gens qui développent ces jeux gratuits se font de l’argent en plaçant des pisteurs contre rémunération ? Est-ce qu’ils font leurs propres pisteurs et vendent eux-mêmes les données ? Ou est-ce qu’ils vendent juste l’espace à des annonceurs ?
Vraisemblablement, d’après ce que j’ai compris, c’est plutôt la troisième solution.

Il y a une chose dont on n’a pas encore parlé, c’est la manière dont Exodus s’y prend pour tracer les traceurs, enfin techniquement je veux dire. Depuis le début je parle de l’outil que l’association a développé, qui permet de détecter les pisteurs qu’il y a dans les applis. Outil que Esther, la déesse tutélaire, avait commencé à coder au tout début de l’histoire. Cet outil est hyper-simple à manipuler, même pour moi. Mais est-ce que c’est un truc compliqué à fabriquer informatiquement ?

Lovis_IX : L’outil lui-même n’est pas extrêmement compliqué. Le cœur de l’outil n’est pas très compliqué. Techniquement c’est d’un côté avoir l’application, récupérer la liste des classes Java, ça s’appelle comme ça, et, de l’autre côté avoir la liste des pisteurs qu’on a et puis on vérifie si telle ligne existe dans les pisteurs.

Xavier de La Porte : Mais comment, par exemple, avez-vous une piste de pisteurs ?

Xavier de La Porte : Augmenter notre base de connaissances de pisteurs c’est justement un travail de longue haleine. Là on se repose encore une fois sur la communauté. Il y a des personnes autour de nous qui s’amusent avec leur téléphone, qui voient passer des connexions réseau sur leur téléphone qui sont un peu bizarres, qui ressemblent à un pisteur, donc ils ajoutent ce pisteur- là en disant « j’ai vu tel truc passer, il faudrait le regarder de plus près ». Après nous on a tout un travail où, justement, on fait des analyses complémentaires, on va sur le site du pisteur en question, on lit la documentation, etc., pour voir, en fait, si ça correspond vraiment à un pisteur et si oui quel est, justement, son mode de détection. C’est un travail absolument sans fin et on essaye de faire des soirées un peu joyeuses parce qu’aller sur les sites des pisteurs qui vendent un monde justement où le marketing est merveilleux et les gens sont heureux parce qu’ils ont des services adaptés à leurs besoins, il y a des fois où c’est un petit peu déprimant !

Xavier de La Porte : Donc les gens d’Exodus Privacy se retrouvent régulièrement, chacun derrière son ordinateur, pour des soirées où ils essayent d’identifier des pisteurs.
Mais là j’ai une question un peu conne. J’ai lu, quelque part, qu’Exodus se limitait aux applications gratuites et n’allait pas voir les pisteurs qui se trouvent dans les applications payantes. Pourquoi se limiter aux applications gratuites ?

Lovis_IX : Parce qu’on n’a pas les moyens de les acheter !

Xavier de La Porte : C’est juste pour ça ?

Lovis_IX : Il faut pouvoir les acheter et les acheter peut-être plusieurs fois, quand elles changent de nom, quand elles sont rachetées. Une appli à 15 euros, ça va grever notre budget qui n’est pas énorme.

Xavier de La Porte : Ah ! Oui, c’est juste ça qui fait que vous vous limitez aux applications gratuites.

Lovis_IX : Ben oui !

Xavier de La Porte : Ça, ça pose une question importante. Qu’est-ce que Exodus Privacy ne voit pas ? Qu’est-ce qui échappe à leur chasse ? Déjà on sait, pour ce qu’il y a dans les applications payantes c’est beaucoup et c’est dû au manque de moyens financiers. Mais est-ce qu’il y a des pisteurs qui échappent à Exodus Privacy pour des raisons techniques ? Pour le dire autrement : est-ce qu’il y a des choses qu’Exodus Privacy aimerait faire et n’arrive pas à faire ?

Lovis_IX : Ce que j’aimerais et ce ne sera pas possible, on ne pourra pas le faire, c’est faire des analyses dynamiques. Ce serait de pouvoir lancer l’application et analyser le trafic réseau pendant une, deux heures en jouant avec l’application pour de vrai, en créant des comptes, et savoir ce qui passe exactement, où ça va, dans quelle direction, pour pouvoir avoir plus de données sur l’application.

Xavier de La Porte : Pourquoi vous ne le faites pas ?

Lovis_IX : Parce que c’est du travail qui n’est pas automatisable, ça prend une journée par application, on en a plus de 70 000. Donc je pense qu’on n’aura pas suffisamment de jours de vie pour tout faire. C’est passionnant, ça c’est sûr !

Xavier de La Porte : Passionnant c’est-à-dire ? Pourquoi c’est passionnant ?

Lovis_IX : Parce qu’on tire un fil et toute la pelote vient.

Xavier de La Porte : En analysant en statique et pas en dynamique vous pensez qu’il y a plein de choses qui vous échappent ?

Lovis_IX : Oui, tout à fait.

MeTaL_PoU : Oui, c’est sûr.

Xavier de La Porte : Comme quoi par exemple ?

Lovis_IX : Les fameux pisteurs qui ne se lancent qu’au bout de dix minutes. Les fameux pisteurs qui vont chercher leurs instructions. Puisqu’on n’analyse pas le réseau, en fait avec l’analyse statique on sait que le code est présent mais on ne sait pas s’il est actif.

Xavier de La Porte : Et MeTaL_PoU, la présidente, qu’est-ce qu’elle en pense ? Qu’est-ce que Exodus Privacy ferait s’il en avait les moyens techniques. ?

MeTaL_PoU : Techniquement on aimerait bien pouvoir analyser les applications qui ont des restrictions géographiques ?

Xavier de La Porte : Ça veut dire quoi ?

MeTaL_PoU : Notre façon d’analyser les applications est liée à un compte Google qui est domicilié en France et on ne peut pas analyser des applications qui sont restreintes, par exemple, à l’Allemagne. Ça a été le cas, par exemple justement, avec la création de toutes les applications liées au covid, de tracking en fait, qui ont été faites dans plein de pays. On ne pouvait pas les analyser sur notre plateforme parce que, souvent, elles étaient restreintes géographiquement. Il existe d’autres outils, mais, du coup, il y avait des personnes qui voulaient analyser l’application de leur pays mais qui ne pouvaient pas le faire.

Xavier de La Porte : Évidemment, en bonne présidente, MeTaL_PoU raisonne world wide. C’est vrai que c’est malheureux que les huit membres très actifs d’Exodus ne puissent pas traquer les pisteurs du monde entier.
D’ailleurs c’est une question que je me pose : est-ce qu’il y a une sorte de géopolitique du pisteur ?

MeTaL_PoU : Je m’interroge sur les pisteurs asiatiques. J’ai l’impression qu’on les connaît un petit peu mais tant que ça. Là on est en train d’en découvrir et c’est un champ que nous ne connaissons pas trop. En plus il y a la barrière de la langue, quand les sites ne sont qu’en chinois c’est un peu problématique !

Xavier de La Porte : Oui, évidemment. J’imagine que les pisteurs asiatiques doivent être présents maintenant que les entreprises chinoises ont plus intérêt à faire des campagnes publicitaires en France. Il n’y a aucune raison pour que nos données personnelles restent en Europe ou en Amérique. Donc OK !, le champ à couvrir est infini et on voit mal comment Exodus pourrait en venir à bout.
Je me demande comment on pourrait échapper à tout ça si on le voulait. Déjà prenons un cas simple. Je veux toujours mon application météo clean, je passe celle de Météo-France au crible de la plateforme, elle a plein de pisteurs et de permissions. OK. Qu’est-ce que je fais ?

Lovis_IX : On peut trouver plein d’autres applications météo qui marchent très bien et qui n’ont pas de pisteurs.

Xavier de La Porte : OK. Ce que vous dites, c’est « fuyez les applis qui ont trop de pisteurs. »

Lovis_IX : Si vous savez que celle-là a des pisteurs, si ça ne vous dérange pas continuez comme ça, par contre, vous en trouverez d’autres qui n’en ont pas.

Xavier de La Porte : D’accord. OK.

MeTaL_PoU : Du coup on a proposé des pages pédagogiques avec justement des liens, par exemple un store qui s’appelle F-Droid7 qui propose des applications libres. Il y en a certaines qui ont des pisteurs dedans, par contre c’est transparent, c’est-à-dire qu’on le sait et, en fait, il y a plein d’applications qui n’ont pas de pisteurs. Et puis, à un moment, il faut se poser la question : est-ce que j’ai vraiment envie d’installer telle application ? Est-ce que je ne ferais pas un petit tour dans les applications qui sont déjà installées sur mon téléphone et je me rends compte que je n’en utilise pas la moitié, donc je peux les désinstaller.

Xavier de La Porte : D’accord. Donc ce à quoi invite MeTaL_PoU, c’est une sorte d’ascèse applicative ou alors une éthique de l’application. D’ailleurs, à ce propos, il y a quand même des lois. L’Union européenne s’est notamment dotée, en 2016, d’un Réglement général sur la protection des données, dit RGPD8, dont le but est de mieux protéger les données personnelles des internautes européens.
Est-ce que Exodus Privacy a vu des effets du RGPD quand il a été mis en application en mai 2018 ? Et plus généralement, est-ce qu’ils observent, depuis leur point de vue, des progrès ?

Lovis_IX : Je crois qu’il y a des progrès.

MeTaL_PoU : Oui.

Lovis_IX : On avait fait un essai entre avant et après la mise en place du RGPD et on s’est rendu compte qu’il n’y a avait pas de différence.

Xavier de La Porte : Ah bon !

Lovis_IX : Ça n’avait absolument rien changé.

Xavier de La Porte : C’est-à-dire qu’il n’y a pas moins de traceurs ?

Lovis_IX : Il n’y avait pas moins de traceurs, il n’y avait pas plus de traceurs. Certaines applications ont joué le jeu et ont supprimé des pisteurs, d’autres en ont rajouté. Dans l’ensemble ça n’a pas bougé, mais j’ai quand même l’impression que petit à petit la conscience vient aux développeurs.

Xavier de La Porte : Bon, tant mieux !
Il y a encore une chose que j’ai du mal à saisir. Je sais que Exodus Privacy a été entendue par la CNIL, la Commission nationale de l'informatique et des libertés. Mais pourquoi ce que fait l’association n’a pas l’air d’intéresser au-delà du monde numérique, alors même que c’est un travail qui est essentiel ? Pourquoi des hommes ou des femmes politiques ne s’emparent pas de ces questions ? Pourquoi 60 Millions de consommateurs, par exemple, n’est pas en lien direct avec Exodus ?

Lovis_IX : Peut-être n’ont-ils pas entendu parler de nous après tout ! On n’est pas si gros que ça, on est huit.

Xavier de La Porte : Vous êtes huit, mais vous êtes mentionnés chez Zuboff, l’université de Yale s’intéresse à ce que vous faites, vous êtes connectés quand même à…

Lovis_IX : On est connectés à énormément de monde, mais il y a peut-être un manque d’interaction quelque part.

Xavier de La Porte : Ce manque d’interaction, comme dit Lovis_IX, il a peut-être des raisons politiques, après tout, comme le rappelait tout à l’heure MeTaL_PoU, tout le monde ne trouve pas scandaleuse la publicité ciblée.
Mais il y a peut-être une raison plus philosophique qui expliquerait un peu notre résignation. Shoshana Zuboff, toujours elle, a un concept que j’aime bien, l’« inévitabilisme ». Elle veut dire par là que les acteurs de la tech ont réussi à nous faire entrer dans la tête que certains inconvénients du progrès étaient inévitables. En gros, vous voulez gratuitement des trucs géniaux comme le Search de Google, Gmail, Google Maps, eh bien il est inévitable qu’on extraie et marchande vos données personnelles. L‘« inévitabilisme » c’est ce qui fait que les progrès de la techno ne sont pas négociés parce qu’ils vont d’eux-mêmes, dans un sens qui nous est présenté comme inéluctable. Soit dit en passant, c’est exactement ce qui s’est passé autour de la 5G.
J’en reviens à mes pisteurs et je me pose une question : est-ce qu’il y a des moyens d’y échapper complètement ? Imaginons une solution pratique toute simple. Si régulièrement je change de numéro de téléphone, est-ce que ça me permettrait d’échapper à la traque ?

Lovis_IX : Changer de numéro de téléphone en changeant simplement la carte SIM mais en gardant le téléphone, ça reste le même téléphone, donc le même identifiant publicitaire, donc la traque continue. Par contre, si vous changez de téléphone et de numéro, à ce moment-là, il va falloir qu’ils refassent tout le boulot. Ça peut coûter cher. Il existe dans les téléphones Android le moyen de réinitialiser l’identifiant publicitaire. C’est très bien caché et, à ce moment-là, ça rend caduque le traçage précédent. Mais il faut aussi nettoyer le reste.

Xavier de La Porte : Oui, parce que ça veut dire aussi qu’entre-temps Facebook, par exemple, qui a des traqueurs partout, a pu, de toute façon, vous créer un profil ; Google vous a créé un profil et cela même si vous changez de numéro de téléphone, d’identifiant publicitaire, etc., ils continueront d’exister.

Lovis_IX : Oui. Ils continueront d’exister et ils finiront par vous retrouver, de toute façon.

Xavier de La Porte : D’accord. Donc c’est impossible d’y échapper.

Lovis_IX : C’est pessimiste à dire.

MeTaL_PoU : C‘est compliqué d’y échapper.

Lovis_IX : J’ai peur que ce soit très difficile.

MeTaL_PoU : Il existe quand même des contre-mesures. Notamment sur F-Droid il y a un outil qui s’appelle Blokada9 qui est un bloqueur de pub, qui permet de bloquer la communication entre le téléphone et un certain nombre de sites tiers qui sont liés à pas mal de pisteurs et qui permet, en fait, de diminuer le nombre de données qui fuitent.
Pour moi, la question du pistage, c’est en fait un système. Du coup, pour remettre en cause un système, il faut forcément une prise de conscience collective.

Xavier de La Porte : Oui, ce n’est pas changer son numéro ou changer son téléphone qui fera qu’on y échappera.

Lovis_IX : On y échappera un temps, mais ils nous rattrapent.

Xavier de La Porte : Voilà, il faut reconnaître que c’est un peu désespérant comme constat. MeTaL_PoU le dit très bien, c’est un système vaste qui compte beaucoup d’acteurs puissants. D’ailleurs, pour terminer, je voudrais savoir si Exodus a reçu des menaces de la part d’un de ces acteurs, je ne sais pas, data broker, fabricant de pisteurs, annonceur, etc.

Lovis_IX : Oui, mais je ne dirai pas plus.

MeTaL_PoU : Oui, mais rien de…

Lovis_IX : Rien de méchant, mais je ne dirai rien de plus.

Xavier de La Porte : Il n’y a pas de procédure.

Lovis_IX : Je ne dirai rien de plus, justement pour éviter des problèmes.

Xavier de La Porte : OK. D’accord. Donc c’est vraiment la limite. Vous êtes vraiment dans une zone qui est…

Lovis_IX : Oui. On est un peu dans une zone grise oui. Il faut qu’on fasse très attention.

Xavier de La Porte : Voilà ! On suivra les aventures d’Exodus Privacy.
Merci à MeTaL_PoU et Lovis_IX, bénévoles d’Exodus Privacy qui ont pris le temps de discuter. Toutes les informations et plus encore sont, évidemment, disponibles sur le site de l’association.
À la prise de son c’était Michaël Besikian, au mixage Jean-Philippe Jeanne, à la réalisation Hélène Bizieau. C’était Le code a changé, un podcast proposé par France Inter en partenariat avec Fabernovel.