Les internautes se sont fait à l’idée qu’ils pouvaient être suivis et profilés lorsqu’ils surfent sur internet, mais qu’en est-il des risques spécifiques liés aux smartphones ?
Avec toute une gamme de capteurs, GPS, caméras et micros, si un appareil peut être utilisé pour surveiller la vie d’un individu, c’est sans aucun doute le smartphone !
Selon une étude, menée par des chercheurs de la Northeastern University de Boston, intitulée Panoptispy pour nous compliquer un peu la prononciation, la réalité sur la surveillance des smartphones s’avère un peu plus compliquée qu’il n’y parait.
Le rapport a examiné les données de 17 260 applications Android sur Google Play (en ajoutant les “app stores” chinois Ap-pChina, Mi.com et Anzh). Les chercheurs ont ensuite utilisé un outil automatisé pour identifier un sous-ensemble d’au moins 9 100 applications qui pourraient laisser partir des données après avoir eu accès, par exemple, à la caméra ou au micro.
Une source de confusion est que même lorsqu’un développeur d’applications n’a aucun intérêt à surveiller ses utilisateurs via des supports API, cela ne signifie pas que des bibliothèques tierces, intégrées dans ces applications pour smartphones, à des fins publicitaires ou avec d’autres objectifs, ne le font pas. De plus, de manière déroutante, les applications peuvent également demander des autorisations à des supports lorsqu’elles sont installées mais sans jamais les utiliser, sans doute parce qu’elles en avaient besoin dans des versions plus anciennes, mais les développeurs n’ont jamais modifié ce paramètre.
Sans oublier que :
La cartographie entre les autorisations Android et l’API associée est étonnamment mal documentée, ce qui peut entraîner une confusion chez les développeurs.
Ainsi, vous commencez enfin à avoir une idée de la raison pour laquelle ce type d’étude détaillée, concernant ce que nos applications pour smartphones font et récupèrent réellement, est difficile à mettre en œuvre. En effet, si les développeurs ne savent même pas ce qu’ils demandent vraiment, comprendre comment des autorisations et des API peuvent être contournées devient un peu délicat !
La bonne nouvelle est que sur plus de 17 000 applications analysées, seules quelques applications enregistraient des vidéos, des images ou du son secrètement (de manière inattendue et sans que l’utilisateur en soit conscient) et les renvoyaient au développeur de l’application ou à un tiers.
Même les applications qui pratiquent cette capture de données semblent le faire par incompréhension totale des fondamentaux concernant la protection de la vie privée plus que par intentions purement malveillantes. Par exemple, une application de livraison appelée GoPuff envoyait des captures d’écran afin de mieux comprendre comment les utilisateurs interagissaient avec cette dernière.
Un autre application comprenait une API, TestFairy, qui a pris 45 captures d’écran sans autorisation, soi-disant pour aider les tests bêta, non divulgués, parmi ceux l’ayant installée.
Moins positif : l’analyse a révélé la nature chaotique des données que les développeurs d’applications et d’API peuvent récupérer s’ils le veulent, et à quel point l’architecture des permissions d’Android régule très mal ce processus :
Nous constatons également qu’il existe une corrélation faible entre les autorisations qu’une application demande et les autorisations dont une application a réellement besoin pour exécuter son code avec succès.
Google pourrait répondre qu’il travaille sur la question, mais nous sommes maintenant entrés, depuis plus de 10 ans, dans l’ère commerciale d’Android et le problème n’est toujours pas résolu (l’analyse ne s’est pas penchée sur iOS, qui sera analysé séparément).
En conclusion, le désordre règne très nettement. Il se peut que ce résultat viennent de la vision même de l’un des créateurs de la plateforme, à savoir un héritage de la philosophie du type “construisons-le rapidement et ils viendront ensuite”, qui a trop longtemps vu la vie privée comme un obstacle à prendre en considération ultérieurement.
Les applications vous surveillent-elles secrètement à des fins malveillantes ? Sur la base de cette étude, la réponse est Non. Est-ce qu’elles vous regardent de beaucoup d’autres manières, lesquelles sont incroyablement difficiles, dans certains cas et même pour ces dernières, à comprendre avec précision ? La réponse est Oui.
Le simple fait d’ajouter plus d’autorisations et de contrôles ne résoudra pas le problème, car il est incroyablement difficile pour un utilisateur de suivre des dizaines de ces applications pour smartphones. Ce constat ne constitue pas une réponse bien sûr, mais plutôt que de transférer le problème à l’utilisateur du smartphone, il faudrait en réalité plus de responsabilité au niveau du développeur et de l’API.
Billet inspiré de Your smartphone can watch you if it wants to, study finds, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.