Google a récemment retiré plus d’une douzaine d’applications de son Play Store, parmi lesquelles des applications de prière musulmane qui cumulaient plus de 10 millions de téléchargements, ainsi qu’un lecteur de codes barres, une application de météo et une horloge.
Le scénario est classique : du code était caché et collectait des données privées. Plus effrayant encore, le code a été conçu par une entreprise liée à un sous-traitant d’une agence gouvernementale aux États-Unis, qui a payé des développeurs pour intégrer son code dans leurs applications afin de voler de grande quantité de données des utilisateurs.
Deux chercheurs qui scrutent les stores d’apps
Derrière cette découverte, Serge Egelman et Joel Reardon : deux chercheurs qui ont co-fondé une organisation appelée AppCensus. Leur but est de réaliser des audits des applications mobiles en vérifiant de nombreux éléments de confidentialité et de sécurité. Dans un article de blog sur leurs découvertes, Joel Reardon écrit qu’AppCensus a initialement contacté Google au sujet de leurs découvertes en octobre 2021. Cependant, les applications n’ont finalement été supprimées du Play Store que le 25 mars après l’enquête de Google.
L’enquête montre que l’entreprise panaméenne Measurement Systems a payé les développeurs du monde entier pour incorporer son code dans leurs applications, c’est ce qu’ont déclaré les développeurs incriminés après une enquête du Wall Street Journal. Pour convaincre les développeurs et éditeurs, le fameux code était caché derrière un kit de développement (SDK) censé être un système de rémunération lié à la publicité.
La présence de ce morceau de code a permis à la société panaméenne de collecter subrepticement des données auprès de ses utilisateurs, dont les numéros de téléphone, les e-mails ou la position géographique par exemple. C’est désormais à la Federal Trade Commission d’enquêter sur cette affaire, les conclusions ne seront connues que dans plusieurs mois. De son côté, Google a déjà retiré les applications incriminées et les a bloquées à distance, ce qui peut être fait grâce aux Play Services.
Impossible d’estimer la portée de ce vol
Selon les chercheurs à l’origine de cette découverte, la véritable portée de ce vol de données pourrait être beaucoup plus grande, car les autorisations liées au code permettent de détecter l’existence d’autres appareils fonctionnant sur le même réseau Wi-Fi que celui utilisant une application qui contient le code, fournissant potentiellement un moyen d’identifier des dizaines de millions de smartphones. Évidemment, il est fort probable que les clients finaux de ces données volées soient les agences gouvernementales.
Parmi les applications identifiées, voici une liste exhaustive : Radar radar, Al-Moazin Lite (Horaires de prière), Qibla Compass – Ramadan 2022, Handcent Next SMS/MMS, Al Quran Mp3, Full Quran MP3, Souris WiFi, Audiosdroid Audio Studio DAW, etc.
Nous vous encourageons à lire notre dossier dédié à la sécurité avec des conseils basiques mais essentiels.
Pour aller plus loin
Comment sécuriser votre smartphone, votre tablette ou votre PC ? Le guide ultime !
Rendez-vous un mercredi sur deux sur Twitch, de 17h à 19h, pour suivre en direct l’émission SURVOLTÉS produite par Frandroid. Voiture électrique, vélo électrique, avis d’expert, jeux ou bien témoignages, il y en a pour tous les goûts !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix