C'est quoi ce projet?

Gao&Blaze Lite est un jeu produit par la coopérative de formation et de recherche La Boussole. Dans sa version Gao&Blaze, nous avons été soutenus par la fondation Maif pour la recherche et l'association Prévention Maif. Pour la version Gao&Blaze lite, c'est le dispositif Edu'up du Ministère de l'éducation nationale qui a co-financé la modification et la mise à jour de cette ressource. 

Les membres de La Boussole construisent depuis 2016 des pédagogies et outils au service d’individus et de projets sociaux et solidaires. Les activités de la coopérative s’inscrivent dans la tradition de l’éducation populaire, c’est-à-dire dans une posture pédagogique visant à l’émancipation des personnes, quel que soit leur bagage préalable. Généralement, l’activité de La Boussole prend la forme de formations et ateliers sur mesure, de recherches scientifiques ou de création d'expériences ludiques. 

Les principales thématiques d’intervention de ses membres portent sur le numérique et l’éducation aux médias, l’intelligence collective et les méthodes participatives, le dialogue culturel et la lutte contre les discriminations.

Plus d'information sur https://laboussole.coop !

Crédits

L'équipage de la Boussole 
Concept original, recherche, contenus pédagogiques, suivi du développement, coordination de la production et gestion du projet :

- Natalia Calderón Beltrán (PhD)

- Quentin Harada

Développement :

- David Leuliette

- Matthys Ducrocq

Game design :

- Quentin Harada

- Tanilo Errázuriz

Art :

- Lais de Melo Batini 

- Gabriela Martinez  

Infographies : 

- Inés Sofía Poveda Robayo 

Vidéo :

- Ali

- Inès Forgues

Traduction :

- anglais : coopérative Polífona

- espagnol : Natalia Calderón Beltrán, coopérative Polífona

- ukrainien : Olha Pererva

Comité pédagogique :

- Magali Lavandier

- Pauline Paris

- Nhora Palacios

- Élisa Louvet

Comité scientifique :

- Fabien Granjon, Sociologue, Professeur des Universités, Université Paris 8, Sophiapol

- Marc Rigolot, Directeur de la Fondation MAIF pour la recherche

- Sébastien Trouvé, responsable du pôle numérique de la Ligue de l'enseignement

Top modèle et coach croquettes :
- Sushicat

Et votre CAT Scan, comment ça marche?

Le CAT Scan (Cellular Access Test Scan) est un outil d’audit de votre téléphone intégré au jeu, pour essayer d’évaluer de manière simple quelles sont les applications qui s'en prennent à vos données. Il s’appuie sur la base de données du projet libre Exodus Privacy, qui analyse les applications Android dans le but de lister les pisteurs embarqués, ainsi que sur celle de TOSDR, qui analyse les conditions d'utilisation des services les plus connus. 



Mais que fait le CAT Scan, alors ?

Le CAT Scan a pour objectif d’essayer de rendre plus « digeste » des informations complexes. En d’autres termes : savoir au premier coup d’oeil quelles sont les applications qui demandent beaucoup de permissions et sont susceptibles de vous espionner. Comme toute démarche de simplification, le CAT Scan a des avantages et des inconvénients : 

  • Sa principale qualité est d’être simple et lisible. En un seul coup d’oeil, vous pouvez avoir une idée de si votre appli semble intrusive ou non, en se basant sur le code couleur du nutriscore.
  • Son principal défaut est d’être parfois simpliste. En effet, deux applications peuvent parfois avoir un score similaire, alors que l’une est intrusive, et l’autre demande beaucoup de permissions, mais de manière justifiée (comme Signal, par exemple).


La formule de calcul fonctionne comme celle de l'ancien CAT Scan de Gao&Blaze ?

Non, nous avons créé une nouvelle version pour essayer d'améliorer la formule et la rendre plus pertinente !

Le score du CAT Scan se base sur les variables suivantes :

  • Nombre total de pisteurs détectés (via Exodus + tri)
    • nombre de crashlytics FLOSS en configuration opt-in (en gros, ce sont des pisteurs de débuggage non-intrusifs et avec un motif légitime)
    • nombre de pisteurs problématiques
  • Nombre total d’autorisations (via Exodus)
    • nombre d’autorisations « ordinaires »
    • nombre d’autorisations « dangereuses / critiques » (telles que définies par Google)
  • Score d'intrusivité des conditions d'utilisation du service (via TOSDR)

Pour chaque appli, un score est calculé selon la formule suivante :

  • S'il existe une note TOSDR pour le service donné, elle prime, sinon
  • ( [pisteurs problématiques x [permissions critiques] ) + [pisteurs problématiques]^3 + [permissions simples]
  • Le résultat est ensuite classé sur l’échelle suivante
    • A - 0-15
    • B - 16-30
    • C - 31-50
    • D - 51-70
    • E - 70+
  • Pour obtenir le score global, la formule suivante est appliquée : SOMME(scores_apps) / [nombre d'apps] 


Pourquoi cette formule et pas une autre ?

L’idée derrière cette formule de calcul est de se baser sur le nombre de pisteurs problématiques (qui révèlent une démarche intrusive de la part de l’éditeur de l’appli), de les surpondérer en fonction du nombre de permissions critiques (qui indiquent une configuration que nous jugeons dangereuse, avec des données sensibles comme votre géolocalisation, vos contacts, etc...), et de prendre en compte à plus petite échelle les permissions simples.

La raison pour laquelle la notation des conditions d'utilisation prime (lorsqu'elle existe) est qu'elles révèle de manière explicite et légale les pratiques de telle ou telle entreprise en termes d'utilisation de vos données. Elle est donc plus précise, notamment car depuis quelques années (lorsque le CAT Scan version 1 avait été développé en 2020, par exemple) les GAFAM ont effectué un changement de stratégie pour blanchir leur image : de nombreuses applis (chez Google notamment) abandonnent complètement l'usage de pisteurs, et récoltent vos données directement via leur fonctionnement habituel. En effet, l'écosystème d'applications est tellement large et varié (l'appli mail et l'appli texto récupèrent ce que vous écrivez, l'appli photo ce que vous prenez en photo, l'appli vidéo ce que vous regardez, les applis réseaux sociaux vos contacts et centres d'intérêt, le navigateur de que vous lisez, l'appli cartes où vous vous rendez, etc...) que sa simple utilisation permet de capter tous vos faits, gestes et pensées quotidiennes sans avoir à utiliser de pisteur intrusif. En résumé : plus besoin d'aller chercher les informations qu'on leur donne spontanément.

C'est pour cela qu'il nous semble plus pertinent de se pencher d'abord sur ce qu'une entreprise s'autorise ou pas avec vos données, avant de regarder comment elle les récupère.


Attention cependant, toute formule implique des forces et des faiblesses :

  • La force de cette formule est
    • d’être relativement simple, et de faire le tri des applis relativement efficacement (nous avons pour cela testé et comparé plusieurs formules pour voir comment elles permettaient de classifier des applications dont les pratiques en termes de respect de la vie privée sont connues).
    • de prendre en compte des paramètres variés (pisteurs, permissions, conditions d'utilisation).
  • La faiblesse de cette formule est 
    • d'être plus simpliste qu'un réel audit détaillé.
    • d'hériter des faiblesses d’Exodus Privacy et de TOSDR, à savoir que nous ne pouvons pas être à 100% sûrs que tous les pisteurs ont été détectés, ni que les dernières conditions d'utilisation ont été analysées. Cela souligne par ailleurs l'enjeu et l'importance de soutenir ces projets d'utilité publique.







Recherche