Vidéo: Découvrez Haven, l'appli de Snowden contre «ceux qui veulent réduire au silence les citoyens» (Novembre 2024)
À la fin de janvier, des documents divulgués ont révélé que la NSA et d'autres organisations d'espionnage nationales travaillent d'arrache-pied pour obtenir des informations à partir de votre smartphone. Mais au lieu d'installer un bogue, ils ont juste exploité les applications déjà présentes sur votre téléphone pour apprendre tout ce qu'ils veulent savoir.
Un oiseau en colère m'a dit
Selon des rapports, les organisations d'espionnage se tournent vers des "applications qui fuient" pour collecter des informations. C'est un terme que nous avons souvent utilisé dans nos reportages sur le lundi des menaces mobiles, un terme que Marc Rogers, chercheur principal en matière de sécurité chez Lookout, définit comme "toute application transmettant tout type d'informations sensibles sans chiffrement".
Vous serez peut-être surpris de voir que cette définition englobe de nombreuses applications disponibles dans les magasins d'applications Android et iOS. En effet, nombre de ces applications utilisent des plates-formes publicitaires tierces pour monétiser leurs applications. Parfois, vous pouvez voir les annonces directement dans l'application, comme dans Flappy Bird. Le développeur reçoit une coupure et vous obtenez un jeu gratuitement.
Mais même lorsque vous ne voyez aucune annonce, les développeurs d'applications incluent souvent du code provenant d'annonceurs qui collectent discrètement des informations sur vous et votre appareil. Ces informations sont compilées et disséquées par les annonceurs afin de mieux cibler leurs annonces. "Plus nous disposons d'informations sur une personne, plus son profil marketing sera précis", a expliqué Bogdan Botezatu, spécialiste senior des menaces électroniques chez Bitdefender.
"Pour les annonceurs", a expliqué Rogers de Lookout, "il y a de l'or à prédire ce qu'il faut mettre de manière à intéresser les utilisateurs". Il peut s’agir de produits et services plus proches de vos intérêts ou disponibles dans votre région. Si vous habitiez à Osaka, par exemple, vous ne seriez probablement pas trop intéressé à en apprendre davantage sur les voitures bon marché à Chicago.
Les annonceurs et les spécialistes du marketing recherchent généralement des informations identifiables, c'est-à-dire un moyen de connecter votre appareil à vous. Le numéro EMEI du périphérique, l'identifiant Apple ou tout autre identifiant conviendra, mais les adresses électroniques et les numéros de téléphone sont particulièrement prisés. Grâce à ces informations, les annonceurs peuvent déterminer que la même personne a téléchargé différentes applications et comprendre comment elles sont utilisées sur différents appareils. D'autres annonceurs sont plus agressifs et tentent d'obtenir vos informations de géolocalisation, etc.
Pour donner un exemple de la portée des informations du SDK des annonceurs, Botezatu les a comparées au cheval de Troie d'accès à distance Android profilé par Bitdefender. Une fois installé sur le téléphone d'une victime, il donne un contrôle total à un attaquant en lui permettant de voler des contacts, d'accéder à l'historique du navigateur et de suivre la victime. "La plupart des gens répondent négativement à AndroRAT lorsque je leur montre que je peux activer le microphone", a-t-il déclaré. "En dehors de cela, c'est ce qui se passe avec la plupart des SDK publicitaires."
On ne voit pas très bien à quoi la NSA utilise les informations d'applications interceptées, mais cela ressemble probablement aux annonceurs: créer des profils détaillés sur des personnes à partir d'informations disparates. Bien sûr, il pourrait être utilisé d'une autre manière. Botezatu imagine un scénario dans lequel des manifestants se seraient révoltés dans les rues contre un gouvernement oppressif. Si ce gouvernement imaginaire avait un accès illimité aux informations de localisation recueillies par les annonceurs, ceux-ci pourraient déterminer qui était dans l’émeute et les cibler, ainsi que leurs familles, à des fins de représailles.
Fuites De Tuyaux
Comme l'a dit Rogers, une application ne coule que si elle tente d'envoyer des informations sans chiffrement. Malheureusement, beaucoup d'entre eux ont choisi de ne pas chiffrer les informations provenant des applications de votre téléphone et des serveurs de l'annonceur. "Tous ceux qui écoutent sur le routeur ou le réseau peuvent surveiller les données de l'application et en faire une copie", a déclaré Botezatu.
Bien que nous ayons vu des cas d'espionnage espionner des routeurs et des réseaux Wi-Fi, Rogers affirme que le problème est plus grave. "Les organisations gouvernementales sont en mesure d'exploiter l'infrastructure de la même manière que tout le monde. Un méchant peut obtenir une multitude de données, mais les gouvernements peuvent couvrir l'internet dans son ensemble."
Envoyer des tonnes de données aux annonceurs n’est pas toujours mieux que de les faire intercepter par la NSA. Botezatu a souligné que, une fois que les données ont quitté votre appareil, vous n’avez plus aucun contrôle dessus. "Ces annonceurs peuvent se trouver dans un endroit où aucune législation ne protège vos données et personne ne peut garantir que les informations sur ces serveurs sont sécurisées ou inaccessibles aux pirates."
À qui la faute?
Dans de nombreux cas, le développeur de l'application peut même ne pas savoir quelles informations sont aspirées par les annonceurs. Ou si cette information est cryptée.
Selon Rogers, le problème tient en grande partie à une idée fausse de l’industrie sur ce qui rend les données sensibles. Certaines applications, explique-t-il, ne prennent qu'un petit peu d'informations, comme une préférence sexuelle dans une application de rencontres ou une partie d'un code postal dans une autre application, sans souci. Les annonceurs ne considèrent pas cette information comme une information sensible, car elle ne vous en dit pas beaucoup. Mais à présent, des organisations telles que la NSA peuvent intercepter des données provenant de centaines d'applications à la fois et relier les points. "Les organisations gouvernementales peuvent mettre en corrélation tout cela et créer un profil complet", a déclaré Rogers.
Il existe également des problèmes avec les kits de développement logiciel utilisés par les annonceurs pour collecter ces informations. Botezatu a expliqué qu’il existe des millions d’applications sur tous les marchés mobiles, mais que le nombre de SDK publicitaires est très faible. "Il y a environ 100 personnes qui alimentent toutes les applications sur Google Play", a-t-il expliqué. "Si vous en compromettez un, vous compromettez une gamme complète d'applications et rejoignez de nombreux autres clients."
Les clients (c'est-à-dire vous et moi) jouent également un rôle, car nos téléphones nous avertissent que ces informations sont en cours de collecte. Lorsque vous téléchargez une application à partir de Google Play, par exemple, vous acceptez de lui donner accès à une gamme d'autorisations. Ce sont des informations auxquelles l'application peut accéder et des actions qu'elle peut effectuer. "Si Angry Birds utilise votre emplacement, vous pouvez en déduire qu'il est utilisé d'une certaine manière pour la publicité, a déclaré Rogers.
Comment rester en sécurité
Pour des gens comme nous, les options pour limiter le nombre de personnes qui voient nos informations sont rares. Sur iPhone, vous pouvez obliger les annonceurs à accéder à un "identifiant publicitaire" que vous pouvez actualiser à tout moment, ce qui limite la création d'un profil complet. iOS vous permet également de fournir des autorisations granulaires pour les informations. Vous pouvez autoriser l'accès à votre emplacement, puis le désactiver plus tard à partir du menu Paramètres.
Malheureusement, Android a pris du retard avec des autorisations granulaires. Bien que Google ait brièvement présenté un panneau de configuration pour vous permettre d'activer et de désactiver les autorisations, celui-ci a été rapidement supprimé. Cela signifie que de nombreux utilisateurs doivent choisir entre la sécurité et la possibilité de jouer avec la dernière application. "Quand je vois une application qui tente de collecter plus de données que nécessaire, je choisis une autre application avec des fonctionnalités similaires", a déclaré Botezatu.
Les utilisateurs peuvent également installer un logiciel de sécurité permettant de surveiller les autorisations des applications. Lookout indique que leur application de sécurité commencera à mettre en évidence ces informations et que l'application Clueful de Bitdefender peut vous aider à décider si une application en demande trop.
Rogers concède que "l'utilisateur est très éloigné de ce qu'un développeur d'application accepte de faire avec ses annonceurs". Il a toutefois recommandé aux utilisateurs d’exiger que les développeurs d’applications fournissent une documentation telle que des règles de confidentialité et de divulgation.
Malheureusement, il incombe aux développeurs et aux annonceurs de traiter toutes les informations des utilisateurs comme des informations sensibles et de les chiffrer à partir du moment où il quitte votre téléphone jusqu’à ce qu’il se trouve sur leurs serveurs. Les consommateurs, quant à eux, doivent prendre des décisions éclairées concernant les applications qu'ils installent et responsabiliser activement les développeurs. "Nous entendons tous les jours que de nouvelles choses sont espionnées, mais au moins dans ce cas, il existe un remède facile", a déclaré Rogers.
