Votre portable part faire du shopping sans vous

Comment vos applications mobiles mettent en péril vos informations personnelles.

Le 27 août dernier, la compagnie de cyber-sécurité Kaspersky a annoncé que ses chercheurs avaient découvert un code malveillant dans la version Android de l’application populaire CamScanner. Ce code permettait une série d’actions dangereuses, tel que l'affichage de contenu publicitaire non-autorisé ou du paiement en ligne. Cette application a été installée par plus de 100 millions d’utilisateurs dans le monde avant que Google ne la retire du Google Play Store. Ce n’est pas la première qui démontre les dangers liés à la data, qui accompagnent nos appareils adorés.

D’ailleurs, plus de 1 000 applis Android ont complètement ignoré la restriction de permission de Google et ont collecté la data des utilisateurs sans leur accord. Pour les utilisateurs Android, la sécurité mobile ne commence pas avec le téléchargement des applis depuis l’app store. Bien avant cela, en choisissant leur mobile, les utilisateurs peuvent compromettre la sécurité de leurs informations. Les appareils fabriqués par la compagnie chinoise de télécommunication Huawei ont été officiellement bannis par les gouvernements américain, japonais, et australien, de peur que ces appareils ne soient utilisés à des fins d’espionnage sur le pays. Les iPhones ne sont pas complètement hors de danger, et selon les chercheurs, leurs faiblesses logicielles ont amené des failles de sécurité pendant des années. Donc qu’est-ce qui fait qu’un téléphone portable soit si dangereux ? Les sept raisons suivantes devraient vous faire réfléchir à deux fois avant d’appuyer sur installer.

Plus de data

Chaque activité en ligne implique, et donc risque, les informations de l’utilisateur. Mais aucun appareil n’a accès à notre data comme notre téléphone. Celui-ci connait tout de nos coordonnées GPS, répertoire téléphonique, textos, emails, photos, et tout le reste. Cela évidemment rend les applis mobiles bien plus intéressantes auprès des hackers, et quand elles sont associées avec des vulnérabilités de sécurité dont nous allons parler, une data-bombe à retardement est créée.

De petites équipes

Le conte de fée de la start-up comprend trois programmeurs travaillant ensemble depuis un garage quelque part. Bien des applications débutent avec de toutes petites équipes, et des fois, pas d’équipe du tout. Comme ces dernières sont petites, elles doivent souvent prioriser, et malheureusment, sortir de nouvelles fonctions passe devant les problèmes de sécurité. Quand les applis vulnérables commencent à avoir du succès et construisent une audience, l’équipe doit une fois de plus se concentrer sur la croissance, et les problèmes d’infrastructures, négligeant tout besoin de protection de l’information qui a pu se générer antérieurement. Et c’est ainsi que des applis extrêmement populaires mais mettant des millions d’utilisateurs en danger sont nées.

La lutte pour la monétisation

Les utilisateurs mobiles ont l’habitude de tout avoir gratuitement, ce qui crée un énorme défi de monétisation pour les fabricants. Cela veut dire qu’une application peut avoir des millions d’utilisateurs actifs, et quand même avoir du mal à générer du profit. Les applis avec de petits groupes d’utilisateurs sont souvent forcées de faire des compromis risqués au détriment de l’utilisateur. Ils n’engagent pas d’experts en sécurité, ils collaborent avec des partenaires douteux, et utilisent la data de leurs utilisateurs sans leur permission. L’expression "si le produit est gratuit, vous êtes le produit" est très vraie.

Utilisation SDK

Les fabricants d’applis ont souvent besoin d’aide technique externe. C’est là que le kit SDK entre en jeux. Ces kits, installés par les développeurs, sont très utiles et fournissent nombre de services, dont des analyses, de la promotion, de la customisation, du marketing, etc. Le problème est que si le kit SDK est malveillant ou vulnérable, l’appli principale et tous ses utilisateurs sont aussi exposés. Un kit SDK peut faire bugger une appli, montrer du contenu ou des pubs inappropriées, et collecter la data de l’utilisateur.

Le manque de propriété

Les app stores d'Apple et Google invitent les développeurs à créer et offrir leurs applis en suivant un système d’approbation, mais bien que Apple soit connu pour être stricte, et que Google travaille dur pour améliorer ses niveaux de sécurité au point de bloquer des millions d’applis dangereuses, il y a encore un long chemin à parcourir. Dans le cas de Google, cela n’inclut pas seulement les applis, mais aussi les nombreux appareils Android disponibles. Les applis peuvent être téléchargées mais on ne sait pas grand-chose, si ce n’est rien, des gens et des compagnies derrières celles-ci. Ce manque évident de propriété fait des app stores un Far-West du mobile. Si vous travaillez dans l’industrie de la tech, ce n’est pas vraiment nouveau. Mais des utilisateurs de différents âges et origines ne sont pas nécessairement conscients que ces méga-compagnies elles-mêmes ne sont pas directement responsables de la construction et de la protection de ces produits.

Demandez le pardon, pas la permission

Bien que Apple et Google demandent des permissions d’accès spécifiques, détaillées et justifiées aux informations de l’utilisateurs, le procédé est encore incroyablement problématique, particulièrement sur les appareils Android. La plupart des utilisateurs traitent l’écran de demande de permission comme un obstacle qui se dresse dans leur chemin au moment où ils installent l’appli. Rare sont ceux qui lisent cette information et qui la comprennent. En plus, comme mentionné précédemment, les créateurs d’appli ont leurs propres façons de passer au travers des restrictions de Google pour accéder à la data dont ils n’ont jamais eu l’autorisation d’accès en premier lieu.

On zappe

Une fois que ces permissions sont données, les changer est quelque chose que l’utilisateur ne fera jamais. Dans les premiers jours de la révolution mobile, quand beaucoup d’appareils manquaient d’une torche interne, des applis dédiées à la lampe-torche étaient connues pour demander un accès excessif et hors-propos des informations de l’utilisateur, et les collectèrent ainsi silencieusement pendant des années. Nos nouveaux appareils ont leur propre lampe-torche, mais viennent aussi avec beaucoup plus de mémoire, ce qui rend les utilisateurs encore moins conscients des applis qu’ils n’utilisent pas, mais aussi qu’ils n’effacent jamais.

Ne jetez pas votre mobile pour autant, (le feriez-vous vraiment ?) mais jetez un œil aux applis que vous avez installées, et voyez lesquelles sont redondantes, et quelles sont les informations que vous partagez avec celles que vous décidez de garder. Essayez de remplacer les applis gratuites et invasives par d’autres plus sûres qui demande de payer un petit prix. Vous ne serez le produit de personne à partir du moment où vous refusez d’être traité de cette manière. Savez-vous quelles sont les autres compagnies qui ont vos infos ?