Alerte sur la sécurité des smartphones Les smartphones, une mine d'or pour les logiciels espions
Une application météo sur iPhone peut demander la permission d'utiliser les données de géolocalisation. Cela semble légitime pour fournir des données météorologiques basées sur la localisation. L'application peut cependant abuser de cette permission en transmettant par exemple ces données à des fins publicitaires. Ces informations peuvent aussi être exploitées à des fins plus malveillantes.
Des applications dangereusement indiscrètes
Une étude récente de chercheurs universitaires a passé au crible 30 applications Android. Deux d'entre elles avaient transmis à un serveur distant le numéro de téléphone du terminal, l'IMSI (numéro unique qui permet à un réseau GSM ou UMTS d'identifier un usager), et l'ICC-ID (numéro de carte Sim). Sept ont fait parvenir l'identifiant du smartphone. La moitié d'entre elles ont envoyé les données de géolocalisation afin qu'elles servent à réaliser de la publicité ciblée. En aucun cas, l'utilisateur n'avait donné son consentement.
"Les smartphones multiplient les canaux possibles pour collecter et voler des données"
Basé sur une étude portant sur 48 694 applications de l'Android Market, SMobile a de son côté constaté que seule une App sur cinq demande l'autorisation d'accéder aux informations privées ou sensibles. Une sur vingt aurait même la possibilité d'effectuer un appel sans qu'aucune manipulation du possesseur du smartphone soit nécessaire.
Le clavier de l'iPhone, un vrai enregistreur de frappes
L'Enisa fait aussi remarquer que le cache du clavier de l'iPhone est accessible à toutes les applications installées sur le terminal : même si ce cache ne contient pas les informations sensibles, type mot de passe, il contient beaucoup d'informations privées. Le clavier virtuel de l'iPhone enregistre en effet tous les mots tapés sur le clavier, sauf ceux qui sont entrés dans les champs de mot de passe. Ce système censé aider à l'auto-complétion agit comme un enregistreur de frappes, se souvenant aussi de numéros confidentiels...
Enfin, les différents capteurs (boussole, lumière, géolocalisation, etc) présents sur les smartphones permettent de déterminer les activités de leurs possesseurs, et "multiplient les canaux possibles pour collecter et voler des données, ce qui augmente les chances que des informations privées soient pillées", explique l'Enisa. L'agence formule les mêmes recommandations que pour le phising en précisant qu'il est possible de refuser certains services (du fabricant de téléphone, de l'opérateur ou de l'éditeur de l'application) collectant des informations sensibles.