Des applications Android (Google) et iOS (Apple) épient tout ce que vous faites sur vos tablettes et smartphones. Certaines peuvent accéder à vos listes de contacts et même copier vos emails. L’éditeur de logiciels de sécurité, Bitdefender, parle de “pourcentage alarmant” d’applications qui espionnent les utilisateurs.
Après analyse de plus de 800.000 applications de l’environnement Android, les Laboratoires Bitdefender révèle qu’un nombre important de ces logiciels, qu’on trouve sur Play Store, le site officiel de téléchargement de Google pour sa plateforme mobile, pose un problème de protection de la vie privée des usagers de ces appareils. Un « pourcentage alarmant d’applications peut localiser et accéder à des photos personnelles, localiser les utilisateurs, divulguer sur Internet des adresses e-mail, consulter sans avertissement des répertoires de contacts et des journaux d’appels », indique Bitdefender. L’extraction de ces données peut servir aussi bien à des institutions de renseignements (NSA ou autres) qu’à des entreprises intéressées par vos penchants de consommation pour vous cibler dans leurs campagnes publicitaires. «Environ 35% des applications analysées par Bitdefender peuvent ainsi localiser les utilisateurs et un peu moins de 3% d’entre elles sont capables de déterminer où ils se trouvent à leur insu même lorsqu’elles s’exécutent en arrière-plan. Environ 7% de ces applications sont également en mesure d’envoyer l’emplacement de l’appareil», et « jusqu’à 3% des applications peuvent divulguer des adresses e-mail ». « Environ 1749 d’entre elles transmettent l’adresse via une connexion chiffrée, alors que 1661 utilisent une connexion non chiffrée pouvant être interceptée aisément », selon Bitdefender. Aucun des principaux usages d’un smartphone n’échappe à la récolte de données. Les informations sur l’emplacement des appareils, les répertoires et les listes d’amis, les journaux d’appels, et même les photos postées sur Facebook, Flickr, LinkedIn ou Twitter, peuvent être récoltées par ces applications espionnes.
Les métadonnées des photos que Facebook et Twitter « suppriment avant leur publication » peuvent être interceptées par une « tierce partie », « lorsqu’elles transitent sur le réseau mobile de l’opérateur et les conserver pour un traitement ultérieur ». Ces informations peuvent servir, explique encore Bitdefender, « lorsque des annonceurs tiers recueillent des données du téléphone pour les utiliser dans des publicités ciblées ». Dans une précédente étude, Bitdefender avait également mis en évidence les mêmes risques dans l’environnement iOS d’Apple (iPhone et iPad). Il en a résulté que “45,41% des applications iOS intégraient des services de localisation, même si cela n’est pas nécessaire au bon fonctionnement de l’application, contre seulement 34,55% des applications Android”. Il est également précisé que 18,92% des applications iOS “étaient techniquement capables d’accéder à la liste de contacts”. Même les numéros de téléphone n’y échappent pas et peuvent être divulgués à des publicitaires tiers. Selon Bitdefender, “les applications intégrant les frameworks AirPush et (dans certaines circonstances) LeadBolt permettent au développeur de recueillir, de crypter et d’envoyer le numéro de téléphone de l’appareil. Dans certains pays, les opérateurs bloquent cette possibilité afin de protéger les données des utilisateurs ».
Jouez, vous êtes surveillés !
Le New York Times avait déjà révélé, en janvier dernier, citant des documents de Snowden, que les agences de renseignement comme la NSA américaine et le GCHQ britannique, utilisent des applications mobiles pour collecter des données sur les utilisateurs. Outre Facebook et Google Maps, même des jeux comme Angry Birds servent à espionner les utilisateurs. Selon Bitdefender « 5,5% des applications » analysées « pouvaient localiser et accéder à des photos » et « presque 10% » ont accès aux les listes de contacts. Il ne s’agit pas seulement d’applications dédiées à messagerie mais d’autres qui « n’ont pas besoin » de lire les listes de contact « pour fonctionner correctement ». D’autres, comme la Free Software Foundation Europe (FSFE), qui milite pour l’installation de logiciels Libres, estiment que « la plupart des appareils mobiles ne sont pas contrôlés par leur utilisateur, mais par le constructeur et l’opérateur ». On y apprend, dans le plaidoyer de la FSFE, que des « extensions propriétaires » comme ceux de « Carrier IQ », une société américaine qui édite des logiciels embarqués de diagnostic et d’analyse de téléphonie mobile, jouent le rôle de gendarmes. Les logiciels de Carrier IQ vont jusqu’à collecter l’historique des visites des sites Internet, et copier les textes des SMS, emails et même des notes, tapées sur votre appareil Android.
Les partisans du logiciel libre sur Android proposent une panoplie d’applications dont le nombre est, bien évidemment, largement inférieur à ceux qu’on trouve sur Play Store de Google. Sur F-Droid, la plateforme FOSS (Free Open Source Software) offre un catalogue de logiciels libres pour les terminaux Android. Une version francophone du site explique comment installer (autoriser l’installation d’applications de sources inconnues) et fourni une liste d’applications open source. Néanmoins, et pour ceux qui ne souhaitent pas encore faire le pas vers l’open source, il s’agit de “limiter les risques” comme le suggère Bitdefender. Il s’agit, explique l’éditeur de logiciels de sécurité de “porter une attention particulière aux permissions requises par les applications “téléchargées” et de “ne jamais autoriser leur installation s’ils ne sont pas convaincus qu’elles ont besoin de ces permissions”. “Les permissions liées aux réseaux sociaux et aux capteurs de l’appareil tels que la caméra, le micro et le GPS sont particulièrement susceptibles de recueillir et de communiquer des données. Nous recommandons aux utilisateurs de ne pas installer ces applications à moins qu’ils ne voient pas d’inconvénient à ce que leurs données se retrouvent entre les mains de tiers”. Bitdefender recommande également l’application gratuite “Clueful”, qui “indique ce à quoi ont accès vos applications et fournit un score de vie privée en fonctions des permissions demandées par les applications”.
