Quand vous utilisez une appli mobile, il faut savoir que vous n’êtes jamais vraiment seul. En effet, les éditeurs embarquent dans leurs applications non seulement une palanquée de mouchards publicitaires, mais aussi des outils qui analysent les clics et le parcours des utilisateurs, pour savoir si l’interface graphique est efficace et si les fonctionnalités sont utiles. Ce que l’on ne savait pas jusqu’à présent, en revanche, c’est que certaines applications pistent les utilisateurs avec des copies d’écran et des screencasts qui sont ensuite transmis par Internet à des tiers.
Cette découverte a été faite par un groupe de chercheurs de Northeastern University et UC Santa Barbara qui ont analysé le fonctionnement de plus 17.000 applications Android de manière statique et dynamique. A l’origine, cette étude avait pour but de savoir si les applications abusaient de leurs droits d’accès au microphone et au module caméra en faisant des captations à l’insu des utilisateurs. Cette théorie du complot ne s’est pas confirmée. Par contre, en analysant les flux réseau, ils ont trouvé une poignée d’applications qui procédaient à des transferts bizarres d’images et de vidéos.
Screencasts envoyés en cachette
L’une d’entre elles s’appelle GoPuff, l’appli mobile d’un service de livraison. Elle enregistre régulièrement l’écran et envoie la séquence à AppSee, un prestataire d’analyse d’applications mobiles. En soi, on pourrait s’en accommoder. Le problème, c’est que certaines séquences envoyées montraient le code postal de l’utilisateur. Interrogé par Gizmodo, AppSee rejette la faute sur GoPuff tout en indiquant que ses droits d’utilisations interdisent clairement la captation de données personnelles.
De son côté, Google estime que les fonctionnalités de captation d’AppSee n’apparaissent pas assez clairement dans les applications qui les intègrent. Les utilisateurs ne sont donc pas au courant de cette pratique et ils ne peuvent pas s’en protéger. En effet, à l’inverse du microphone ou de la caméra, la copie d’écran ne nécessite pas un droit d’accès particulier.
Un autre logiciel problématique était SAHIC, l’appli mobile d’une conférence professionnelle. Elle envoyait régulièrement des copies d’écran à TestFairy, un prestataire d’analyse applicative destiné aux bêta tests. Là encore, la pratique est très discutable. Parmi les copies d’écran figurent des contacts et des messages envoyés au sein de l’application.
Enfin, les chercheurs signalent une troisième catégorie de fuite de données : les éditeurs de photos. Il s’avère que certains traitements d’image ne sont pas effectués en local mais sur les serveurs du fournisseur. Les photos sont donc transférées sans que l’utilisateur ne soit averti. Les chercheurs estiment que ces différentes techniques représentent un risque non négligeable pour la protection des données personnelles si elles ne sont pas bien encadrées et, surtout, si l’utilisateur ne donne pas explicitement son consentement.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
