Logo des Enovateurs
Pratiques et mignons ? Les SDK sont plus tordus qu'il n'y paraît

Pratiques et mignons ? Les SDK sont plus tordus qu'il n'y paraît

Les kits de développement d'applications (SDK) s'intègrent simplement, rapidement et fournissent aux développeurs·ses de nombreuses options intéressantes. Mais derrière leur simplicité de façade se cache parfois un côté plus sombre. En utilisant les applications et sites qui s'en servent, le public accorde, sans le savoir, sa confiance à des entreprises tierces qui peuvent s'avérer peu scrupuleuses.

Stripe, Google, Yandex, AWS... toutes ces entreprises proposent de nombreux services peu onéreux (voire gratuits) à destination des développeurs·ses. Un simple npm install,composer install ... suffit pour intégrer le SDK d'une entreprise tierce dans une application ou un logiciel. Après avoir généré les clés d'authentification, le tour est joué.

Cependant, les entreprises qui mettent à disposition des SDK ne le font pas innocemment. Et si c'est gratuit, c'est l'utilisateur·trice final·e qui devient le produit.

Professionnel·les des logiciels, du Web ou d'applications mobiles : il est primordial de se renseigner sur les SDK mis à disposition. Ce n'est pas pour rien si certain·es expert·es en cybersécurité réalisent des audits et mettent en garde sur les risques liés à ces outils.

Google Analytics, un service gratuit...

Les SDK sont de véritables chevaux de Troie pour des entreprises intéressées par la data. Le plus célèbre reste Google Analytics, un service simple et gratuit. Il suffit de s'y inscrire, et Google génère automatiquement le code à intégrer dans les pages Web que l'on souhaite analyser. Cet outil, utilisé par des milliers d'entreprises, aide gratuitement les équipes marketings à établir des graphiques, des statistiques sur les visiteurs de leur site vitrine, e-commerce....

Mais alors pourquoi Google est-il si bienveillant ? Parce qu'il peut mettre la main sur les données qui sont remontées. Grâce à son service, Google s'informe sur l'attractivité d'un site Web et détermine s'il mérite d'être affiché en première page. Car le célèbre moteur de recherche se base sur le contenu, les références... mais aussi sur le nombre de visiteurs pour classer les sites.

Grâce à Google Analytic, l'entreprise californienne est en mesure de connaître toutes les sources d'acquisitions des visiteurs. Par exemple : une entreprise sponsorise un post sur Facebook afin de faire de la publicité pour son site. Sans Analytics, Google ne saurait pas que 100 visiteurs sont arrivés sur le site en question via Facebook... puisque l'entreprise connait le nombre de visites provenant de son moteur de recherche mais n'a pas de visibilité sur les systèmes tiers.

Quelques pistes pour contourner les problématiques liées aux SDK

Trois solutions existent. Les développeurs·ses peuvent :

  • Arrêter d'utiliser des SDK et interagir avec les API (Application Programing Interface ou interface de programmation d'applications) : c'est la seule manière de contrôler réellement l'émission et la réception de données à des services tiers.
  • Continuer à utiliser des SDK, mais les (faire) analyser et bloquer la version afin d'éviter des mises à jour sans recontrôle du code.
  • Utiliser les SDK mais analyser toutes les requêtes Web émises vers l'extérieur par l'application ou le site web. Le but : vérifier qu'il n'y a pas de données non contrôlées qui partent dans la nature.

Les développeurs·ses et les entreprises sont responsables des blocs applicatifs qu'ils utilisent dans leur logiciels, applications... les données personnelles qui leurs sont confiées sont précieuses et doivent être protégées.

[Photo de couverture : Mathieu Turle]

Jérémy PASTOURET
Jérémy PASTOURET
Journaliste en recherche constante de nouveaux outils plus légers, accessibles à tous et respectueux de la vie privée de leurs utilisateurs.

Commentaires

Ecrire un commentaire

Sobriété

Passez à l'étape supérieure :

Découvrez nos tutos !

Chargement d'un nouvel article...

Les Enovateurs

Rejoignez notre communauté de lecteurs

Retrouvez-nous aussi sur

linkedin