Les applications gratuites collectent des informations concernant les activités des utilisateurs

Juniper Networks a dévoilé aujourd'hui ses conclusions de l'enquête menée par son centre de surveillance des menaces mobiles (MTC) sur la sécurité et la confidentialité des données : 1,7 millions d'application Android disponibles sur la plate-forme de téléchargement Google Play ont été analysées entre mars 2012 et septembre 2012.

Juniper Networks a trouvé un nombre significatif d'applications dont les permissions et fonctions sont susceptibles d'exposer des données sensibles, ou d'accéder aux fonctionnalités des appareils sur lesquels elles sont installées sans en avoir la nécessité.

Les appareils et les applications mobiles ne sont désormais plus des gadgets, mais des outils totalement intégrés dans nos vies. L'institut d'études Gartner prévoit d'ailleurs que le nombre d'applications mobiles téléchargées doublera cette année, pour atteindre le chiffre de 45 milliards. Ces programmes deviennent de plus en plus sophistiqués et sont désormais incontournables aussi bien pour les applications professionnelles les plus cruciales que pour se connecter avec des amis lorsque l'on voyage, ou encore lorsque l'on souhaite utiliser un portefeuille virtuel.

Si ces applications facilitent la vie, elles sont, pour une multitude de développeurs et de régies publicitaires, l'occasion de collecter des informations concernant nos activités. Ces applications leur permettent d'exploiter les fonctionnalités des appareils sans que les entreprises, les particuliers et les organisations publiques qui les installent ne sachent bien souvent avec qui ils partagent des données personnelles, ni pour quelles raisons. Même s'il leur est demandé d'accorder toute une liste de permissions lors de l'installation d'une application, la plupart des utilisateurs n'en connaissent pas les tenants et les aboutissants. Bien souvent, ils n'ont de toute façon pas la formation appropriée pour savoir en quelles applications ils peuvent avoir confiance.

Le plus inquiétant est le fait que de nombreuses applications collectent des informations, ou demandent des permissions sans que les fonctionnalités mises en avant ne le justifient. Un problème déjà constaté par le passé, notamment dans des articles de presse dénonçant des applications très populaires qui recueillent des données sans raison légitime ou en envoient à des tierces parties lorsque l'appareil est hors tension. Des révélations qui ont déclenché de vives réactions. Et, le plus grand flou subsiste quant au respect de la vie privée dans l'écosystème applicatif.

Juniper Networks a trouvé un nombre significatif d'applications dont les permissions et fonctions sont susceptibles d'exposer des données sensibles, ou d'accéder aux fonctionnalités des appareils sur lesquels elles sont installées sans en avoir la nécessité. Ces applications disposent des permissions suffisantes pour accéder à Internet et donc de transmettre des informations sensibles récoltées sur l'appareil. A noter que les applications gratuites sont plus prônes à accéder à des données personnelles que les applications payantes. Dans le détail, les applications gratuites sont plus susceptibles de géolocaliser (à 401 %) et d'accéder aux carnets d'adresses de l'utilisateur (à 314 %) que leurs homologues payantes.

• - 24,14 % des applications gratuites disposent des permissions nécessaires pour géolocaliser alors que les applications payantes sont seulement 6,01 % à pouvoir le faire ;
• - 6,72 % des applications gratuites disposent des permissions nécessaires pour accéder à votre carnet d'adresses contre 2,14 % des applications payantes ;
• - 2,64 % des applications gratuites disposent des permissions nécessaires pour envoyer des messages textuels (SMS) à votre insu, contre 1,45 % des applications payantes ;
• - 6,39 % des applications gratuites disposent des permissions nécessaires pour passer des appels en arrière-plan, contre seulement 1,88 % des applications payantes ;
• - 5,53 % des applications gratuites disposent des permissions nécessaires pour accéder à l'appareil photo d'un appareil, contre seulement 2,11 % des applications payantes.

L'utilisateur pisté à des fins publicitaires

L'analyse des disparités entre les applications gratuites et payantes confirme une idée répandue : les premières collectent des données que des régies publicitaires tierces exploitent pour diffuser de la publicité. Si c'est exact dans certains cas, Juniper note que le pourcentage d'applications travaillant avec les 5 principales régies publicitaires est inférieur à celui des applications pratiquant la géolocalisation (24,14 %). Une conclusion basée sur le passage au crible de 683.238 d'applications.

• - 0,75 % des applications affichent des publicités de la régie AdMob ;
• - 4,10 % des applications affichent des publicités de la régie AirPush ;
• - 1,51 % des applications affichent des publicités de la régie Millennial Media ;
• - 0,32 % des applications affichent des publicités de la régie AdWhirl ;
• - 2,34 % des applications affichent des publicités de la régie Leadbolt.

Cela nous permet donc de penser que plusieurs applications collectent des données pour des motifs autres que publicitaires.

Des permissions qui peuvent être indûment exploitées

D'autres activités sont potentiellement plus préoccupantes : certaines applications demandent les permissions nécessaires pour émettre des appels vers l'extérieur, envoyer des SMS et utiliser l'appareil photo des terminaux sur lesquels elles sont installées, dans les trois cas de manière clandestine. Une application capable de passer un appel téléphonique à votre insu pourrait être utilisée pour écouter tout aussi clandestinement vos conversations en face à face lorsque vous vous trouvez à proximité de votre appareil mobile. De même, l'accès à la fonction appareil photo pourrait permettre à une tierce partie de se procurer des vidéos et photos du lieu où l'appareil se trouve, comme en a été récemment faite la démonstration avec le spyware PlaceRaider (en anglais).

L'envoi de SMS clandestins peut également servir à s'emparer subrepticement d'informations sensibles stockées sur un appareil. Un acte furtif qui peut porter préjudice financièrement à l'utilisateur si l'application communique avec des services facturant l'échange s'il envoie des SMS surtaxés, par exemple.

Des catégories d'applications inquiétantes

L'étude du MTC de Juniper s'est intéressée à différentes catégories d'applications. Pour certaines, il apparaît que les permissions demandées outrepassent les besoins de l'application. Pour ces applications, nous avons croisé les niveaux de permissions requis avec les fonctionnalités de l'application décrites. Notre analyse a pointé les applications disposant de capacités supplémentaires inconnues de l'utilisateur, et qui collectent officieusement des informations sans que le fonctionnement basique de l'application ne le justifie.

Cartes et casinos Les applications de jeux de cartes et casino s'inspirent de la réalité, à des fins de divertissement. Dans cette catégorie, on recense :

• - 94 % d'applications gratuites qui disposent des permissions requises pour passer des appels sortants, sans aucune justification ;
• - 83,88 % d'applications gratuites qui disposent des permissions requises pour utiliser l'appareil photo sans décrire le type d'usage qui en est fait ;
• - 84,51 % d'applications gratuites qui disposent des permissions nécessaires pour envoyer des SMS, sans en expliquer la raison.

Jeux de course

Les jeux de course sont, de loin, la catégorie la plus inquiétante. Elle contient un nombre anormalement élevé d'applications qui ont été retirées du marché pendant les semaines de notre étude. Un retrait qui peut s'expliquer de différentes manières. Google peut ainsi en être à l'origine, ayant des doutes quant à des motivations malveillantes, avec des développeurs capables de mettre à disposition une application à des fins de hameçonnage de données ou phishing. Le retrait d'une application peut aussi provenir du développeur qui ne souhaite, tout simplement, plus la proposer gratuitement. Pendant la durée de notre analyse du marché, cette catégorie s'est révélé la plus riche en applications pointées par le MTC comme étant des logiciels malveillants nouvellement apparus :

• - 99 % des applications payantes et 92,42 % des applications gratuites de cette catégorie disposent des permissions suffisantes pour envoyer des SMS, sans fournir aucune justification ;
• - 50 % des applications gratuites disposent des permissions suffisantes pour utiliser l'appareil photo sans en expliquer la raison ou l'usage qui en est fait ;
• - 94,54 % des applications gratuites ayant la capacité de passer des appels sortants le font sans en expliquer la raison ou l'usage qui en est fait.

L’analyse a révélé des éléments inattendus concernant l'usage légitime des permissions accordées. Nous avons examiné des cas pour lesquels les permissions accordées et la collecte de données étaient totalement justifiées, même si la raison n'était pas évidente de prime abord. Pour le vérifier, nous avons installé les applications afin d'appréhender pleinement leurs fonctionnalités et avons contacté plusieurs développeurs.

Un grand nombre d'applications de jeux de cartes et casino, conçues par un développeur en particulier, ont la capacité d'utiliser la fonction appareil photo. La lecture du descriptif de l'application, que nous avons installée, ne renseignait pas clairement sur les raisons justifiant cette capacité. Contacté, le développeur a expliqué que dans la version payante, haut de gamme, de son application, une icône apparaît dans la barre des tâches pour permettre à l'utilisateur de prendre une photo et de s'en servir comme fond d'écran pour ses parties de jeu. Un usage social légitime qui n'était pas explicité clairement à l'utilisateur de prime abord.