Acheter un téléphone Android sans Google est sans aucun doute l’une des meilleures façon de protéger sa vie privée numérique au quotidien. Iodé fait partie des solutions « clés en main » à connaître à tout prix.
Le smartphone est bien la menace la plus importante pour nos données personnelles. Nous le transportons partout avec nous, nous échangeons avec nos amis, notre famille, nous lui confions notre vie quotidienne via notre agenda, nos traces GPS, nous lui donnons nos centres d’intérêts à travers notre navigation et nos téléchargements etc.
Au-delà de ce pistage incessant, les téléphones Android classiques intègrent bien souvent ce qu’on appelle la « surcouche du constructeur », ce sont toutes les applications préinstallées (« bloatwares ») par le constructeur du téléphone mais dont vous n’avez pas forcément besoin. A cette surcouche, il faut ajouter toutes les applications Google préinstallées elles-aussi. Toutes ces application sont souvent bien difficiles à supprimer.
Si vous souhaitez acheter un téléphone qui prend soin de vos données, centré sur la confidentialité, la préservation de la vie privée et sans surcouche d’applications envahissantes et intrusives, les smartphones Iodé pourraient bien répondre à vos attentes. Nous avons interrogé son fondateur Antoine Maurino.
Interview
D’où est venue l’idée de créer Iodé? Quel était le besoin identifié?
L’emprise grandissante des géants de la Tech sur nos vies privées m’a interpellé. Les fuites de données personnelles proviennent essentiellement des smartphones, qui sont désormais le principal canal d’accès à Internet. Une étude américaine réalisée en 2018 a montré qu’un smartphone Android dormant (avec le navigateur chrome ouvert en arrière plan) partageait sa localisation avec Google 340 fois en 24h. Ces collectes de données effectuées par les géants de la Tech sont invisibles, et peuvent être exploitées pour cibler nos intérêts, influencer nos comportements, ou encore utilisées par des tiers dont nous ne connaissons pas l’identité ni les motivations.
Les solutions existantes permettant de se protéger, tant au niveau du système d’exploitation (système d’exploitation alternatif à Android) que des applications (VPN, pare-feu, antivirus, etc.) demandent des compétences en informatique. Nous avons donc réfléchi à une solution packagée, prête à l’emploi pour un utilisateur non-informaticien, intégrant à la fois le matériel, le système d’exploitation et un logiciel bloqueur de collecte de données personnelles.
Quel regard portez-vous sur la problématique des données personnelles et de la vie privée des utilisateurs aujourd’hui?
Avec iodé, nous souhaitons par notre action contribuer, avec d’autres, à la prise de conscience par les utilisateurs d’Internet de l’utilisation extensive et opaque de leurs données personnelles à des fins incontrôlées.
Les études montrent que de plus en plus de personnes se sentent concernées par cette problématique, et adoptent des solutions pour se protéger. Un paradoxe réside toutefois dans le fait que les utilisateurs d’internet attendent plus de protection de leurs données personnelles sur Internet alors même que leurs comportements individuels en ligne laissent parfois croire le contraire. Pour permettre une adoption du smartphone iodé par le plus grand nombre, le système iodé est donc interopérable avec les applications Android.
Iodé est un service récent, comment évolue t-il? L’actualité des données personnelles est-elle favorable à votre offre?
Comme dit précédemment, le marché est prometteur, et de plus en plus de scandales sur l’utilisation extensive et opaque des données personnelles à des fins incontrôlées font surface. De plus en plus d’utilisateurs adoptent le système iodé, qui est constamment tenu à jour et en perpétuel développement.
Quelle est la différence entre un système pour smartphone type « Lineage for MicroG » et Iodé?
Certains réglages par défaut (Serveur DNS, A-GPS, Connexions réseau de portail captif, numéroteur téléphonique, protocole de temps réseau) ont été changés afin de ne plus échanger de données à Google.
Pour les applications installées par l’utilisateur, nous avons développé un bloqueur de collecte de données qui monitore les communications internet des applications et bloque celles destinées aux destinataires indésirables (spammeurs-publicitaires-serveurs utilisés pour la télémétrie ou l’analytics). Ceux-ci, appelés trackers ou loggers, sont référencés sur différentes blacklists établies et tenues à jour par la communauté Open-Source. Ce sont ces listes qui sont utilisées, notamment, par les pare-feux existants. Techniquement, le bloqueur de collectes de données fonctionne selon un principe connu dans le domaine des réseaux et télécommunications sous le nom de “Man-In-The-Middle”.
Le bloqueur monitore les requêtes DNS émanant des applications ainsi que les échanges de paquets réseaux. Les atouts principaux de notre approche par rapport à des applications existantes sont d’une part l’intégration dans le système qui permet un contrôle plus fin (notamment par la connaissance exacte des applications émettrices et/ou destinataires des paquets réseau), et d’autre part de ne pas occuper la connexion VPN, ce qui permet à l’utilisateur de combiner ces deux technologies de protection.
Pouvez-vous me parler du pare-feu intégré à Iodé, c’est unique dans le monde des ROM AOSP, il protège des pisteurs intégrés aux applications, mais, techniquement, a t-on besoin de se protéger de ces pisteurs si le téléphone possède un faux identifiant Google (MicroG)? De cette façon le données ne sont-elles pas rendues inexploitables?
Il existe de nombreux identifiants uniques accessibles par les applications installées. Suivant les permissions accordées, des données sensibles telles que la géolocalisation par exemple peuvent être collectées. Autre exemple avec les cookies accessibles via les navigateurs web.
Le bloqueur iodé permet d’auditer le degré de confidentialité par chacune des applications, en quantifiant les données échangées avec tous leurs destinataires, et en bloquant les indésirables.
Un des problèmes identifié avec les systèmes dégooglisés est le paiement en ligne et certaines applications qui ne fonctionnent pas (Uber/Waze/Deliveroo par exemple), même avec MicroG. Certains utilisateurs peuvent être réticents à adopter un téléphone AOSP à cause de cela, que répondre à des utilisateurs intéressés par Iodé?
Effectivement, Google met des bâtons dans les roues aux systèmes basés sur AOSP avec ses services propriétaires et certaines applications sont susceptibles de dysfonctionner même avec les services MicroG.
C’est donc le « prix » à payer pour protéger les données des utilisateurs iodé et être débarrassés des mouchards Google.
Vous pouvez trouver une liste non-exhaustive des applications qui ne fonctionnent pas sur le système iodé ici : https://iode.tech/applications-compatibles/.
Et le firmware des téléphones? Il est probable qu’il soit une menace pour la vie privée des utilisateurs, que peuvent faire les utilisateurs?
Il est techniquement possible que le Firmware puissent collecter des données à l’insu des utilisateurs, s’il n’est pas considéré comme indésirables par une des listes que nous utilisons et automatiquement bloqué. A ce jour, L’interface iodé ne permet pas d’auditer ces échanges de données venant des couches plus basses du système. C’est un point que nous allons creuser à l’avenir.
Au-delà de l’achat par l’utilisateur, y a t-il un échange de données entre Iodé et le téléphone de l’utilisateur?
Non, le bloqueur iodé n’agit qu’en local. Nous ne collectons jamais ce qui se passe sur les smartphones iodé de nos utilisateurs. Ce qui se passe sur leur smartphone reste sur leur smartphone.
Merci Antoine Maurino!
