session replay
Produits et Services PRODUITS & SERVICES

Session replay : des applications iOS qui réalisent des captures d’écran sans permission !

Des applications iOS suivent chacune de vos frappes et chacun de vos mouvements, puis envoient le résultat sous la forme d’une série de captures d’écran à des serveurs pour examen… masquent, ou pas, parfois des données personnelles… et ne prennent pas la peine de mentionner cette pratique dans leurs politiques de confidentialité !

Comment appelleriez-vous des applications iOS qui suivent chacune de vos frappes et chacun de vos mouvements, puis envoient le résultat sous la forme d’une série de captures d’écran lors de leur utilisation à des serveurs pour examen, parfois il s’agit de leurs propres serveurs, parfois de ceux d’entreprises externes spécialisées dans d’analyse de l’expérience client ?

…masquant parfois des données personnelles telles que les numéros de passeport et les données de carte de crédit, parfois non, entraînant ainsi au moins une violation de données ?

…et en ne prenant même pas la peine de mentionner cette pratique dans leurs politiques de confidentialité, n’informant par conséquent pas les utilisateurs de leurs agissements et n’offrant ainsi pas la possibilité à ces derniers de refuser ?

Une réponse trouvée dans un tweet : “surveillance inacceptable’, puis dans un autre : “Un cauchemar parfait pour l’humanité”.

bienvenue dans l’univers des services “session replay”

Après que Air Canada ait divulgué les données personnelles de près de 20 000 utilisateurs de son application mobile, comprenant des numéros de passeport et des dates d’expiration, les pays de délivrance du passeport, les numéros NEXUS pour les voyageurs de confiance, le sexe, les dates de naissance, la nationalité et le pays de résidence, un expert en application mobile a jeté un coup d’œil à cette application pour voir comment elle avait pu divulguer toutes ces données sensibles.

L’expert, qui se  fait appeler The App Analyst, utilise un outil de type man-in-the-middle appelé Charles Proxy pour intercepter les données envoyées et éventuellement transmises par les applications. Ainsi, son analyse a révélé que l’application mobile d’Air Canada, qui permet aux clients de réserver et de gérer leurs vols, piste ses utilisateurs à l’aide d’analyses réalisées par une société appelée Glassbox Digital.

Les “couacs” qui ont permis de démasquer ces applications

Comme le rapporte TechCrunch, Glassbox est l’un des nombreux services de session replay disponibles sur le marché. Ces services aident les entreprises à déterminer les caractéristiques des appareils de leurs utilisateurs, à collecter des informations de localisation précises et à réaliser des captures d’écran des appareils afin de pouvoir revoir des sessions complètes.

Appsee est une autre entreprise qui commercialise sa technologie “d’enregistrement utilisateur, et permet aux développeurs d’applications de “voir votre application du point de vue de l’utilisateur”, tandis qu’une autre solution, UXCam, indique qu’elle permet aux développeurs de “regarder les enregistrements des sessions de vos utilisateurs, comprenant tous leurs gestes et les événements déclenchés”.

Les dangers inhérents à la récupération des données utilisateur sont apparus il y a un an, lorsqu’une des sociétés d’analyse de sites web, Mixpanel, a admis avoir accidentellement récupéré les mots de passe des utilisateurs pour aider les éditeurs web à améliorer l’implication des utilisateurs vis-à-vis de leurs applications.

N’oubliez pas que les sites web enregistrent depuis longtemps nos frappes sur le clavier

Nous devrions tous être habitués, ou du moins conscients du fait que les sites web ont toujours été en mesure de récupérer nos frappes sur le clavier. Il s’agit tout simplement du bon vieux Web 1.0. En effet, JavaScript, le langage qui rend ce type de surveillance possible, est à la fois puissant et omniprésent. Ce n’est pas une nouvelle, mais il est important de le répéter : quiconque possède un site web peut capturer ce que vous tapez, au moment même où vous le tapez, s’il le souhaite.

Ce n’est pas intrinsèquement mauvais. Sans cette possibilité de suivre la position de votre curseur, de suivre vos frappes sur le clavier et d’effectuer des call-home sans actualiser la page ou créer certains types d’affichage visuel, des sites tels que Facebook et Gmail seraient presque inutilisables, les recherches ne pourraient faire des suggestions automatiques, et Google Docs ne pourrait pas conserver notre session Bacon en arrière-plan.

“Les boîtes noires transparentes”

Les applications mobiles doivent également être optimisées. Mais lorsque vous parlez de la manière dont les applications mobiles sont structurées pour analyser les interactions avec les utilisateurs, le mot “suivi” est sur toutes les lèvres. Les utilisateurs n’aimeront peut-être pas qu’une ou plusieurs entreprises regardent par-dessus leur épaule au fur et à mesure qu’ils frappent sur le clavier, mais ce n’est pas la véritable cause du pillage de données. C’est plutôt ce que The App Analyst appelle des “boîtes noires transparentes”.

Glassbox récupère de nombreuses captures d’écran au cours d’une session utilisateur sur l’application mobile d’Air Canada. Certains d’entre elles concernent des champs dans lesquels les utilisateurs entrent des données sensibles, y compris les numéros de passeport et d’autres informations personnelles qui ont fait l’objet de violation en août dernier. Afin d’empêcher que ces données sensibles ne soient récupérées via des captures d’écran et stockées dans une base de données dédiées, Glassbox les a obfusquées via des boites noires…

… qui peuvent être configurées de manière inappropriée. D’après l’analyse de The App Analyst :

La configuration qu’Air Canada utilise pour spécifier l’emplacement des boîtes noires n’est pas assez répandue et presque toutes les boîtes noires utilisées pour masquer des données sensibles sont récupérées via des captures d’écran. 

Début janvier, il a publié cette vidéo sur YouTube, qui passe en revue les captures d’écran de Glassbox concernant l’application d’Air Canada :

The App Analyst a déclaré à TechCrunch que l’obfuscation mal configuré et non testé de manière approfondie signifie que les employés d’Air Canada, et toute personne capable d’accéder à la base de données des captures d’écran, peuvent consulter des informations de carte de crédit et des mot de passe non chiffrés.

Air Canada tente de masquer le formulaire du mot de passe lors de la connexion. Cependant, il n’obfusque pas le paramétrage initial du mot de passe lors de la création du compte ou ne le réinitialise pas en cas d’oubli.

Les mots de passe et les cartes de crédit n’étaient toutefois pas impliqués dans la violation du mois d’août. The App Analyst a déclaré les avoir vus lorsqu’il avait utilisé la fonctionnalité “Afficher le mot de passe”, ce qui l’a amené à penser que les mots de passe des utilisateurs pouvaient en fait être récupérés au niveau de captures d’écran, en clair, ce qui est contraire aux standards du secteur.

Cinq mois après la faille d’Air Canada qui a eu lieu à la fin du mois d’août dernier, TechCrunch a demandé à The App Analyst d’analyser certaines des applications iOS populaires utilisant la technologie de session replay de Glassbox. Sa clientèle comprend des hôteliers, des sites de voyage, des compagnies aériennes, des opérateurs de téléphonie mobile, des banques et des services financiers, avec des noms tels que Abercrombie & Fitch, Hotels.com et Singapore Airlines.

Certaines des applications iOS qu’il a consultées ont envoyé des session replay à Glassbox, alors que d’autres les ont renvoyées vers un serveur utilisant leurs propres domaines. The App Analyst n’a pas constaté un manque d’obfuscation comparable à celui rencontré dans le cas de l’application d’Air Canada, bien qu’il ait découvert quelques exemples d’adresses de courrier électronique et de codes postaux non obfusqués.

Pas même un murmure ne serait-ce que minuscule !

Comme le note TechCrunch, il est impossible de savoir si une application mobile réalise des captures d’écran pendant son utilisation. Ces entreprises ne semblent apparemment pas le divulguer si elles le font. Voici un extrait de l’article TechCrunch de Zack Whittaker :

Nous ne n’avons rien trouvé, même au niveau des petits caractères, dans leurs politiques de confidentialité.

Quelques exemples des politiques de confidentialité qu’il a scruté, en vain :

La politique d’Expedia ne mentionne pas l’enregistrement de votre écran, pas plus que la politique de Hotels.com. Et dans le cas d’Air Canada, nous n’avons pas pu repérer une seule ligne dans les conditions générales ou la politique de confidentialité pour iOS qui suggère que l’application pour iPhone renvoie des données d’écran à la compagnie aérienne. Et dans la politique de confidentialité de Singapore Airlines, il n’y a aucune mention qui faite non plus.  

Parmi les entreprises qui ont répondu à TechCrunch, aucune d’entre elles n’a abordé le fait que leurs politiques de confidentialité ne mentionnaient pas les “session replay“. Voici ce qu’avait dit Air Canada après la publication de l’article de TechCrunch mercredi dernier :

Air Canada utilise les informations fournies par les clients pour répondre à leurs besoins en matière de voyage et pour résoudre tout problème susceptible d’affecter leurs voyages. … Cela inclut les informations utilisateur entrées et collectées dans l’application mobile d’Air Canada. Toutefois, Air Canada ne capture pas et ne peut pas capturer les écrans de téléphone en dehors de l’application Air Canada. 

Dites aux utilisateurs ce que vous faites ou bien partez !

TechCrunch a reçu une réponse d’Apple, dans laquelle un porte-parole a déclaré qu’Apple avait averti les développeurs qui contrevenaient aux “règles et directives de confidentialité strictes” relatives à l’enregistrement des activités des utilisateurs, et que l’entreprise supprimerait les applications offensantes du store si les développeurs n’informent pas correctement leurs agissements auprès des utilisateurs :

La protection de la vie privée des utilisateurs est primordiale dans l’écosystème Apple. Nos consignes de vérification au niveau de l’App Store exigent que les applications demandent le consentement explicite de l’utilisateur et fournissent une indication visuelle claire lors de l’enregistrement, de la consignation ou de l’enregistrement des activités de l’utilisateur. 

Nous avons informé les développeurs qui enfreignaient ces conditions et directives de confidentialité strictes et nous prendrons des mesures immédiates si nécessaire.


Billet inspiré de iPhone apps record your screen sessions without asking, sur Sophos nakedsecurity.

Qu’en pensez-vous ? Laissez un commentaire.

Your email address will not be published. Required fields are marked *