Accueil > Financement et politiques publiques > Stratégie > La liste des SDK présents dans les applications des compagnies d’assurance santé La liste des SDK présents dans les applications des compagnies d’assurance santé Les applications mobiles tiennent un rôle croissant dans la relation entre les compagnies d’assurance santé et leurs clients. mind Health s’est intéressé à leurs choix techniques : quels SDK (softwares development kits) les assurances santé ont-elles installés dans leurs applications et quelles permissions demandent-elles ? Retrouvez-les dans notre tableau. Par Aymeric Marolleau. Publié le 29 mai 2019 à 14h58 - Mis à jour le 29 mai 2019 à 14h58 Ressources Cliquez sur l’image pour accéder à la base de données : Qui est Exodus Privacy ? Afin de collecter des données sur leurs utilisateurs et leurs usages, surveiller le bon fonctionnement de l’application ou y proposer des services, comme des push notifications, leurs développeurs y incorporent parfois des bouts de codes baptisés “kits de développement”, ou softwares development kits (SDK) en anglais. Depuis 2017, l’association Exodus Privacy, un groupe d’activistes rassemblé en association, recense grâce une méthode présentée sur Github (lire également l’encadré sur sa méthodologie) ceux qui ont été installés dans plus de 56 000 applications Android dans le monde. “Nous avons choisi de rendre nos travaux publics afin de contribuer à la transparence de l’écosystème numérique”, expliquait en 2018 à mind Media l’ex-présidente de l’association, Esther Onfroy. L’analyse a toutefois quelques limites : “Nous pouvons parfois ne pas être exhaustifs, car nous ne cherchons que les traqueurs que nous avons préalablement identifiés (près de 200 en avril 2019, ndlr) et nous n’avons pas la prétention de tous les connaître. Enfin, ce n’est pas parce qu’un traqueur est présent dans une application qu’il sera systématiquement utilisé”, prévenait celle qui est aujourd’hui à la tête de l’agence Defensive Lab Agency. La méthodologie d’Exodus Privacy et les biais possibles La méthode la plus certaine pour identifier les SDK installés au sein d’une application mobile consiste à en “décompiler” le code, c’est-à-dire reconstituer le code source par de la rétro-ingénierie. Un problème survient ici : cette méthode est illégale si les résultats sont publiés, car le code source relève du droit d’auteur. Exodus Privacy a donc trouvé une autre technique : l’association liste tous les noms des objets Java embarqués dans un APK (collection qui contient tous les fichiers nécessaires à l’installation d’une application sur Android) grâce à l’outil dexdump, fourni par Google. Puis elle compare cette liste avec celle qu’elle détient sur les noms Java des trackers qu’elle a déjà identifiés. Cette méthode peut comprendre des biais : tous les traqueurs identifiés par Exodus au sein des applications ne sont pas nécessairement utilisés par les éditeurs. Certains peuvent être pré-embarqués par des partenaires, et activés ou non au gré des besoins. Certains traqueurs peuvent aussi avoir été installés par des partenaires tiers sans que l’éditeur de l’application en ait été averti, ou ils pourraient faire partie d’un code générique utilisé par le prestataire qui a développé l’application. Si vous avez des commentaires ou un éclairage à apporter, contactez-nous : redaction@mindhealth.fr Aymeric Marolleau Besoin d’informations complémentaires ? Contactez le service d’études à la demande de mind
