Dépression sur vos données personnelles, Météo France fuite votre géolocalisation

L'établissement public permet à Madvertise de vous suivre à la trace, y compris quand vous avez dit non

Publié par Pixel de Tracking le 10 juil. 2020

Météo-France bafoue vos choix et fuite votre géolocalisation

Si vous souhaitez accéder à des prévisions météo fiables, Météo-France est un excellent choix. Les données météorologiques utilisées par l’app Apple Météo sur l'iPhone (application par défaut) proviennent de The Weather Channel, société américaine rachetée par IBM début 2016, et ses prévisions pour la France ne sont malheureusement pas très fiables. Météo-France étant un établissement public administratif, je m'attendais à ne pas être pisté sur son application iPhone. J'ai néanmoins souhaité le vérifier en suivant la procédure suivante :

Au premier lancement, Météo-France vous demande d'utiliser votre position :

position

Difficile de se méfier : Météo-France a besoin de votre position pour afficher les prévisions météo de la ville où vous vous trouvez (sinon, vous devrez rentrer à la main la ville). J'autorise donc Météo-France à utiliser ma position, je me vois ensuite présenter la politique de confidentialité :

confidentialite

Météo-France vous demande clairement l'accès aux données de géolocalisation, dont la longitude et la latitude, pour des finalités publicitaires. Météo-France indique ainsi que si vous cliquez sur "Je refuse tout", vos données ne seront pas collectées. Scrollons sur l'écran afin de vérifier les différentes finalités et de cliquer sur "Je refuse tout" :

consentement1consentement2

Comme vous pouvez le constater sur les captures écrans, l'approche est saine : les différentes finalités sont toutes décochées par défaut (système "opt-in'). Je vérifie quand même les données envoyées en stoppant l'enregistrement de ma session Charles Proxy et en envoyant les logs vers mon ordinateur pour analyse :

lancement

Surprise ! Je n'ai pas encore navigué sur l'App, ayant simplement refusé la surveillance publicitaire des partenaires de Météo France, mais je suis déjà pisté par de nombreuses sociétés :

  • Facebook : Météo-France appelle la solution de monétisation publicitaire de Facebook pour les Apps, Facebook Audience Network. Et cette solution est particulièrement gourmande lorsqu'il s'agit de récupérer vos données, sans que l'on comprenne pourquoi Facebook récolte autant d'informations : Facebook récupère par exemple la mémoire totale ainsi que la mémoire libre de votre iPhone (en octets), le niveau de votre batterie, si votre batterie est en train de charger, ainsi que les paramètres de votre accéléromètre.
  • Google : Météo-France appelle Firebase, la boîte à outils de Google pour les développeurs, ce qui lui permet de personnaliser son application sans faire de mise à jour. Météo-France appelle également la solution de monétisation publicitaire pour applications Google AdMob.
  • Smart AdServer : solution de monétisation publicitaire française utilisée par Météo-France.
  • Madvertise : via mng-ads.com, autre solution de monétisation publicitaire française, Madvertise est la régie exclusive de Météo-France. Madvertise est ainsi co-responsable (avec Météo-France) des appels publicitaires vers Google et Smart AdServer. Si l'on regarde le détail des données envoyées à mobile.mng-ads.com (rappel, j'ai refusé toute collecte de données personnelles, et je n'ai cliqué sur aucun écran), on voit 7 requêtes fuitant mes coordonnées GPS (longitude, latitude), permettant de connaître précisément mon domicile.

Ainsi Madvertise, la régie exclusive de Météo-France, s'approprie votre géolocalisation. Pourtant, j'ai bien refusé toute collecte de données personnelles. Quel est donc ce prestataire qui m'a laissé "choisir" de la collecte éventuelle de mes données personnelles par des partenaires ? Il s'agit encore de Madvertise (!) via le domaine cmp.madvertise.mgr.consensu.org. Récapitulons :

  • Météo-France, via la Consent Management Platform (CMP) de Madvertise, demande à l'utilisateur son consentement pour la collecte de données personnelles par des partenaires (dont Madvertise fait parti).
  • Je refuse toute collecte de données personnelles.
  • Madvertise ne tient pas compte de mon choix et collecte notamment une donnée personnelle particulièrement sensible, ma géolocalisation.

Je continue la navigation, la surveillance s'intensifie

Que se passe-t-il lorsque je navigue sur l'application Météo-France ? Afin de voir si l'application cesse de fuiter mes données personnelles, je lance une nouvelle analyse via Charles Proxy et navigue pendant 2 minutes sur l'application :

suite

On peut voir qu'en plus des précédents traceurs, toujours bien présents, de nouveaux traceurs apparaissent :

  • Integral Ad Science : via adsafeprotected.com, cette société est spécialisée dans la mesure de visibilité (est-ce que la publicité délivrée est visible à l'écran ou cachée?), dans la détection de fraude (la publicité est-elle affichée à un humain ou à un bot?) et la "brand safety" (le site sur lequel s'affiche la publicité est-il en accord avec la marque? typiquement un site de streaming est rarement apprécié par les marques).
  • AppNexus : via adnxs.com, racheté par le géant des télécoms américain AT&T en 2018, cette société propose une plateforme de monétisation publicitaire ainsi qu'une plateforme d'achat d'espaces publicitaires.
  • Index Exchange : via casalemedia.com, plateforme de monétisation publicitaire.
  • MobSuccess : plateforme d'achats d'espaces publicitaires (DSP) spécialisé sur l'univers applicatif.
  • Teads : ad-network spécialisé sur le format InRead (les vidéos publicitaires en autoplay qui apparaissent au milieu des articles), a été acheté par Altice (notamment propriétaire de SFR) en 2017.
  • OpenX : autre plateforme de monétisation publicitaire.

On peut également voir que Météo France fuite votre géolocalisation à Madvertise, en continu. J'ai coupé la capture écran mais il y avait le double de requêtes, en seulement 2 minutes de surf (et chacune des requêtes contient ma longitude et ma latitude) :

Madvertise

Un dernier point : si vous continuez à utiliser Météo France en relançant l'application (ou que vous la ré-installiez comme je l'ai fait pour ces tests), celle-ci vous demande d'utiliser votre position même si vous n'utilisez pas l'App (!)

geolocalisation

Notez que la raison invoquée par Météo France est la même que lorsque l'app est active : accéder directement aux prévisions de la ville où vous vous trouvez et vous permettre de partager vos observations. Bref, aucun intérêt pour l'utilisateur, mais une autorisation qui permet à Madvertise d'être le parfait mouchard en vous suivant à la trace même lorsque vous ne lancez pas Météo France.

En attendant une meilleure protection côté iOS, protégez-vous

Voir un établissement public aussi réputé que Météo France violer la loi et permettre à un mouchard de vous suivre en continu est particulièrement choquant. Si malheureusement la CNIL reste impuissante face à ces violations répétées de la RGPD, il vous reste des options :

  • Préférez l'application Météo proposé par Apple sur iOS (même si moins fiable) ou surfez sur le site web de Météo France avec un bloqueur de contenu.
  • Utilisez une appli bloquant les traqueurs afin d'être mieux protégé contre la surveillance sur les applications telles que Météo France : DNSCloak, Adguard ou NextDNS sur iOS.

Et très bientôt, vous serez mieux protégé grâce à iOS 14, mise à jour qui vous permettra de ne fournir aux applications voulues qu'une localisation approximative (par zone de 25km2), ce qui est suffisant pour des applications telles que la météo.

approximate