Légende urbaine ou théorie du complot ? Nombre de mobinautes sont convaincus que leur smartphone les écoute pour les cibler avec des publicités. Vice a alimenté la paranoïa avec un article qui déclarait « Votre téléphone vous écoute et ce n’est pas de la paranoïa« , déclaration découlant d’une expérience de où l’auteur a parlé de « retour à l’université » et de « chemises bon marché » devant son téléphone, et a ensuite vu des publicités pour des chemises et des cours universitaires sur Facebook…

Des professeurs d’informatique de l’Université Northeastern ont donc décidé de mener l’enquête en menant une expérience sur plus de 17 000 applications parmi les plus populaires sur Android pour découvrir si l’une d’entre elles utilisait secrètement le micro du téléphone. Parmi elles, on trouvait Facebook ainsi que plus de 8 000 applications qui envoient des informations à Facebook. Résultat : ils n’ont trouvé aucune trace ni preuve d’écoute secrète de la part de votre smartphone. Mais en poussant un peu plus leurs recherches, ils ont fait une autre découverte : des applications qui prennent des captures du contenu affiché à l’écran et les envoient à des tiers.

Des applications prennent des captures d’écran et les envoient à des tiers

Sur les 17 260 applications examinées, plus de 9 000 avaient la permission d’accéder à l’appareil photo et au microphone. À l’aide de 10 smartphones Android, les chercheurs ont développé un programme automatisé interagissant avec chacune de ces applications, puis ont analysé le trafic généré. Ils ont alors mis au jour des pratiques d’envoi de captures photo et vidéo de l’écran envoyées à des tiers, notamment à des entreprises d’analyse de données mobiles !

Exemple, en utilisant l’application de GoPuff (une start-up de livraison rapide de fast-food), l’interaction avec l’application a été enregistrée et transmise à Appsee, une société d’analyse mobile. Dans ce cas précis, la capture d’écran renseignait le code postal de l’utilisateur. Une manœuvre qui a aucun moment n’a été mentionnée dans la politique de confidentialité de l’application GoPuff.

Contacté par les chercheurs, GoPuff admet la divulgation de certaines données (coordonnées bancaires exclues) à AppSee. Le PDG d’Appsee, Zahi Boussiba, lui aussi contacté, explique que les conditions de service de son entreprise « stipulent clairement que nos clients doivent divulguer l’utilisation d’une technologie tierce, et nos conditions interdisent aux clients de suivre toute donnée personnelle avec Appse ». Il explique aussi que les applications ayant recours au service Appsee peuvent blacklister les données sensibles pour qu’elles ne soit pas transmises. Il ajoute : « il semble que la technologie d’Appsee a été mal utilisée par le client et que nos conditions d’utilisation ont été violées. Une fois ce problème porté à notre attention, nous avons immédiatement désactivé les capacités de suivi de l’application mentionnée et purgé toutes les données d’enregistrement de nos serveurs. »

Captures photos et vidéos, à votre insu…

A l’origine, GoPuff utilise Appsee pour optimiser les performances de son application. Certes, le transfert des données a été accepté par l’application, mais le flou sur le manque de vigilance sur les méthodes et le types de données collectées soulève de nouvelles interrogations. Le fait que le service AppSee ait autant de facilité à obtenir une capture d’écran est pour le moins inquiétant. Il donne une idée de la facilité avec laquelle un hacker pourrait voler des informations sur votre téléphone. Dans le cas d’une capture vidéo, même les mots de passe pourrait être concernés, du fait que la plupart des champs de saisie montrent le dernier caractère tapé avant de le changer en un astérisque ou point noir.

Ces révélations ont de quoi alimenter la paranoïa, ou plutôt l’inquiétude, des utilisateurs de smartphones.

FacebookTwitterFacebookLinkedInPinterest