Il y a quelques jours, plusieurs chercheurs en sécurité ont révélé d’étranges exfiltrations de données personnelles dans une série d’applications signées Trend Micro et diffusées au travers du Mac App Store. Il s’agissait entre autres de Dr.Antivirus, Dr.Cleaner et Dr.Unarchiver.
L’éditeur japonais, connu pour ses solutions de sécurité, est sorti de son mutisme et a donné des explications dans une note de blog. Il reconnaît que ses applications sur Mac App Store ont systématiquement exfiltré l’historique de navigation des utilisateurs pour des raisons de sécurité. Il s’agissait notamment « d’analyser si l’utilisateur avait rencontré des publiciels ou d’autres menaces, et ainsi d’améliorer le produit et le service ».
Selon Trend Micro, cette collecte ne se faisait qu’une fois, après installation du logiciel, et ne couvrait que les dernières 24 heures. Les données ainsi récupérées ont été stockées pendant trois mois sur un serveur aux Etats-Unis, géré par Amazon Web Services (AWS). L’éditeur souligne, par ailleurs, que cette collecte figurait dans les conditions d’utilisation que les personnes sont obligées d’accepter. Il ne s’agissait donc pas d’un vol de données.
Toutes les données collectées ont été effacées
Toutefois, Trend Micro reconnaît avoir dépassé les limites en activant cette collecte pour toutes ses applications, y compris les logiciels utilitaires qui n’avaient aucune fonctionnalité de sécurité. Apparemment, il s’agissait là d’une regrettable erreur. Cette fonction de collecte figurait dans une librairie qui a était intégrée automatiquement dans toutes les applications incriminées. Absurde.
Histoire de faire bonne figure, l’éditeur précise avoir effacé toutes les données collectées et stockées sur le serveur AWS. Il a également supprimé la fonction de collecte de l’historique de navigation de l’ensemble de ses applications macOS destinées au grand public : Dr.Cleaner, Dr.Cleaner Pro, Dr.Antivirus, Dr.Unarchiver, Dr.Battery et Duplicate Finder. Toutes ces applications sont actuellement indisponibles sur le Mac App Store, mais l’éditeur – qui estime sans doute avoir fait amende honorable – espère pouvoir rapidement retrouver sa place dans cette boutique applicative.
De leur côté, les chercheurs en sécurité restent circonspects. Ils pensent que l’argument de la sécurité a bon dos.
TL;DR: “yeah, but we did it for security”
— Nikolai Hampton (@NikolaiHampton) September 10, 2018
De plus Thomas Reed, chercheur chez MalwareBytes, ne se souvient pas avoir vu une notice ou une notification relative à cette collecte de données, alors qu’il en a cherché une. Et c’est difficile de le vérifier maintenant, alors que les applications ne sont plus disponibles.
"The data collected was explicitly identified to the customer in the data collection policy and is highlighted to the user during the install."
It's hard to verify after the apps were removed, but I explicitly looked for in-app data collection notification and did not find any.
— Thomas Reed (@thomasareed) September 10, 2018
Le chercheur « Privacy 1st » estime pour sa part que, même si les utilisateurs ont bien reçu une alerte, cette façon de faire n’est ni professionnelle, ni éthique.
Even if they think that it is all okay to do that, it is not ethical nor professional.
— Privacy 1st (Alex Kleber) 🇩🇪 🇺🇦 (@privacyis1st) September 11, 2018
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
