Adresse, habitudes de consommation, préférences ou encore numéro de carte de crédit : il serait sans aucun doutes déplaisant que toutes ces informations personnelles soient divulguées et partagées sans notre accord. C’est pourquoi, au fil des années, la cybersécurité s’est renforcée suivant l’expansion d’internet. Malheureusement pour nous, rien n’est intouchable et c’est ce que nous prouve aujourd’hui encore, certaines applications présentes sur nos smartphones, avec une protection des données un peu douteuse.
Papa dit « Non », Maman dit « Oui »
Lors de l’installation d’une application sur nos téléphones, on a souvent le droit à la demande de plusieurs autorisations : autoriser Google Maps à utiliser notre localisation, autoriser Snapchat à accéder à notre appareil photo, et bien d’autres encore. Ces autorisations récurrentes sont même parfois obligatoires sans quoi l’application ne peut fonctionner. En soit, rien de très grave car si l’on trouve quelque chose de suspect, il est rapide et facile de retirer l’autorisation.
Mais que diriez-vous si même cette action n’empêchait pas l’accès à vos données ? En effet, des chercheurs ont démontré qu’une application possédant des autorisations pouvait partager les données acquises avec une autre application n’étant pas autorisée. Il serait aussi possible que l’endroit où sont stockées certaines de vos données accumulées par des applications soit accessible par d’autres applications, malheureusement parfois malveillantes. Cela résulterait du fait que les applications soient construites à partir d’un même logiciel, sachant que de plus, il aurait été prouvé que ce logiciel aussi pouvait donc avoir accès à vos données. En résumé, l’utilisateur aura beau interdire l’application, cela ne sera d’aucune utilité.
Présentée à la PrivacyCon de 2019, une étude prouve qu’on ne parle pas ici d’applications mineures mais bien d’applications téléchargées des millions de fois. De plus, ceci n’est qu’un partie des résultats de la recherche : plusieurs failles vulnérables seraient aussi présentes dont certaines capables de récupérer vos adresses MAC. Entres autres, Shutterfly, une application proposant un service d’impression de photos : l’application était capable de retrouver la localisation de nos photos à travers ses informations et de les envoyer dans ses serveurs, et tout cela sans aucune autorisation.
Des solutions ? Oui, mais pas pour tout le monde.
Par conséquent, Google aurait été déjà averti depuis septembre dernier et des solutions arriveraient avec la venue d’Android Q, la dixième version d’Android. Les informations de localisation seront donc cachées aux applications n’ayant pas l’autorisation requise, et les applications devront préciser au PlayStore lorsqu’elles sont capables d’accéder ces informations. Pour les chercheurs, cela est bien mais loin d’être assez. En effet, qu’en est-il des téléphones qui ne recevront pas la mise à jour ? Doivent-ils donc continuer à subir ce vol d’informations ?
Google prétend publiquement que la vie privée ne devrait pas être un bien de luxe, mais cela semble très bien être ce qui se passe ici…
Serge Egelman, directeur de recherche du groupe ICSI.
Une situation donc délicate pour Google et pour la protection des données personnelles, qui on l’espère, s’arrangera rapidement.