Paléo vous observe
Version Courte: L’application Paléo Tickets, maintenant obligatoire pour entrer au festival, contient le traqueur Kontakt, spécialisé dans la localisation de personnes et objets en intérieur. Son utilisation fonctionne également pour des festivals et peut être utile au Paléo pour suivre le mouvement des foules en temps réel. Mais elle peut également être liée à des identités via les information personnelles fournies à l’achat des billets. Il serait donc possible, en théorie, de suivre chaque pas d’un individu précis en temps réel.
La ville de Nyon en Suisse accueille en ce moment son festival de musique annuel, le Paléo. L’édition de l’année dernière ayant été annulée à cause du Covid, celle-ci a eu une année de plus pour apporter son lot de nouveautés. L’une d’entre-elles est la digitalisation des billets via l’application Paléo Tickets, disponible sur iOS et Android, qui est désormais obligatoire pour entrer dans le festival.
La mise en place de ce système est justifié pour réduire la fraude. Mais ce problème a déjà été adressé auparavant avec les billets nominatifs. Mais si vous n’avez pas de smartphone, il est suggéré d’utiliser le téléphone d’une de vos connaissances. Alternativement, il est possible de faire une demande pour recevoir les billets en format PDF à imprimer en écrivant directement au service de billetterie. Concernant la collection des données par l’application, la FAQ Paléo nous décrit brièvement :
Votre prénom, nom, adresse postale et adresse e-mail vous seront demandés. Ces données sont stockées de manière sécurisée et seront uniquement utilisées pour votre identification dans l’application. Vos données ne seront jamais transmises à des entreprises tierces. Le service de géolocalisation et Bluetooth ne sont pas obligatoires. Nous vous recommandons néanmoins de les autoriser à l’arrivée du Festival pour faciliter votre accès à l’événement.
L’utilité de l’accès aux services de localisation et Bluetooth pour une application de billetterie interpelle. La présentation et validation d’un billet n’a nulle utilité pour ces services pour mener à bien son but. Aucune fonctionnalité utilisateur nécessitant ces services est présente dans l’application. Pourrait-il que ces services soient utilisé pour mesurer l’afflux des festivaliers ? Paléo a déjà mené cette expérience en partenariat avec l’EPFL en 2013, traquant ainsi passivement les adresses MAC Bluetooth des appareils des festivaliers. Cette année, avec l’application étant obligatoire et ayant accès à plus d’information sur l’appareil et son utilisateur, ainsi que le contrôle même sur l’appareil, l’échelle de ce type de surveillance se voit multipliée et bien plus précise.
Peut-être serait-il temps de télécharger l’application moi-même et explorer ces fonctionnalités. Utilisateur de LineageOS (Android) sans services Google, je dois passer par un app store alternatif pour télécharger l’application. Une fois fait, première surprise, je ne peux pas lancer l’app. Je suis présenté avec un message d’erreur qui m’indique que mon téléphone est "rooté" (ce qui n’est pas le cas), mais en même temps je n’ai vraiment le téléphone "typique".
Sans trop d’options pour voir ce que l’application fait, je me tourne vers les avis. La note est basse à cause de gens ayant rencontré des problèmes avec le retrait des billets, mais certains commentaires sont tout de même intéressants. Ainsi, je découvre qu’il faut donner accès à ces contacts pour que l’application marche, ce qui à nouveau pose des questions par rapport à la nécessité de ces droits pour accomplir son but principal. Je lis également que la position est demandée mais si refusée, l’app marche quand même. Sur le Play Store, il est indiqué que l’application contient des publicités mais l’un des utilisateurs dans les commentaires déclare qu’il n’en a pas vu.
Alors que y a-t-il dans cette application ? En jetant un coup d’œil à Exodus, une plateforme qui d’audit de vie privée sur des applications Android, on peut apercevoir l’utilisateur de trois traqueurs : Google Firebase Analytics, Adobe Experience Cloud et Kontakt. Ce dernier est assez particulier car c’est un SDK utilisé pour suivre en temps réel des personnes et équipements en intérieur, ce qui pourrait également marcher sur une enceinte de festival. En regardant les permissions requises, on peut en observer 15 (!!) dont certaines sont assez surprenantes : lecture et écriture des contacts, droits d’administrateur Bluetooth (donnant accès aux paramètres Bluetooth et permettant d’initier des scans), données de localisation approximatives et précises, appareil photo et aussi état du réseau (pouvant être utilisé pour le traçage via WiFi).
En creusant plus après avoir analysé l’APK (format de l’application) moi-même, j’ai découvert d’autres choses qu’elle inclue, mais n’ayant moins d’importance que les découvertes précédentes. On y trouve ainsi le SDK du gouvernement Suisse pour les certificats Covid ainsi que la librairie pour la publicité Google Ads (qui n’est pas utilisée). On peut également voir que l’application contient les traductions d’autres événements qui utilisent le service de Tixngo (développeur de l’application et filiale de SECUTIX) tel que le Stade de France.
Lire le code décompilé prendrait beaucoup de temps et je ne l’ai pas fait au complet. Je n’ai que lu certaines parties mais ce n’est pas suffisant pour arriver à des conclusions certaines, ce qui laisse uniquement de la place aux hypothèse ainsi que des conseils à l’organisation du Paléo Festival.
En soi, l’application fait bien plus que ce qu’elle déclare faire et le manque de transparence autour de ce sujet est interpelant. Bien qu’il n’y ait pas de justification pour l’accès en lecture et écriture aux contacts, celle de la localisation pour suivre les foules permet à Paléo de mieux répondre aux besoins des festivaliers. Cependant, l’existence de ce système peut donner lieu à des abus. Toutes les données et capacités techniques sont là. Je ne peux me prononcer sur le fait qu’elles soient liées ou pas, mais si cela est le cas, et les limitations sont quasi inexistantes, l’intrusion à la vie privée est immense. Même sans liées les données personnelles des utilisateurs à celle de la localisation, l’application et le festival devrait faire preuve de plus de transparence, voir même demander le consentement ou donner l’option de se désengager. Ne pas le faire n’entraîne que des questions et la méfiance.