Comment des applications populaires de prière musulmane ont volé secrètement des données très sensibles

 
Numéros de téléphone, e-mails, géolocalisation… des applications de prière musulmane très populaires ont récolté des données très sensibles de leurs utilisateurs. Derrière ce vol de données, une entreprise panaméenne qui travaille avec un sous-traitant d’une agence gouvernementale américaine.
Source : MATAQ Darul Ulum sur Unsplash

Google a récemment retiré plus d’une douzaine d’applications de son Play Store, parmi lesquelles des applications de prière musulmane qui cumulaient plus de 10 millions de téléchargements, ainsi qu’un lecteur de codes barres, une application de météo et une horloge.

Le scénario est classique : du code était caché et collectait des données privées. Plus effrayant encore, le code a été conçu par une entreprise liée à un sous-traitant d’une agence gouvernementale aux États-Unis, qui a payé des développeurs pour intégrer son code dans leurs applications afin de voler de grande quantité de données des utilisateurs.

Deux chercheurs qui scrutent les stores d’apps

Derrière cette découverte, Serge Egelman et Joel Reardon : deux chercheurs qui ont co-fondé une organisation appelée AppCensus. Leur but est de réaliser des audits des applications mobiles en vérifiant de nombreux éléments de confidentialité et de sécurité. Dans un article de blog sur leurs découvertes, Joel Reardon écrit qu’AppCensus a initialement contacté Google au sujet de leurs découvertes en octobre 2021. Cependant, les applications n’ont finalement été supprimées du Play Store que le 25 mars après l’enquête de Google.

L’enquête montre que l’entreprise panaméenne Measurement Systems a payé les développeurs du monde entier pour incorporer son code dans leurs applications, c’est ce qu’ont déclaré les développeurs incriminés après une enquête du Wall Street Journal. Pour convaincre les développeurs et éditeurs, le fameux code était caché derrière un kit de développement (SDK) censé être un système de rémunération lié à la publicité.

La présence de ce morceau de code a permis à la société panaméenne de collecter subrepticement des données auprès de ses utilisateurs, dont les numéros de téléphone, les e-mails ou la position géographique par exemple. C’est désormais à la Federal Trade Commission d’enquêter sur cette affaire, les conclusions ne seront connues que dans plusieurs mois. De son côté, Google a déjà retiré les applications incriminées et les a bloquées à distance, ce qui peut être fait grâce aux Play Services.

Impossible d’estimer la portée de ce vol

Selon les chercheurs à l’origine de cette découverte, la véritable portée de ce vol de données pourrait être beaucoup plus grande, car les autorisations liées au code permettent de détecter l’existence d’autres appareils fonctionnant sur le même réseau Wi-Fi que celui utilisant une application qui contient le code, fournissant potentiellement un moyen d’identifier des dizaines de millions de smartphones. Évidemment, il est fort probable que les clients finaux de ces données volées soient les agences gouvernementales.

Parmi les applications identifiées, voici une liste exhaustive : Radar radar, Al-Moazin Lite (Horaires de prière), Qibla Compass – Ramadan 2022, Handcent Next SMS/MMS, Al Quran Mp3, Full Quran MP3, Souris WiFi, Audiosdroid Audio Studio DAW, etc.

Nous vous encourageons à lire notre dossier dédié à la sécurité avec des conseils basiques mais essentiels.

Pour aller plus loin
Comment sécuriser votre smartphone, votre tablette ou votre PC ? Le guide ultime !


Rendez-vous un mercredi sur deux sur Twitch, de 17h à 19h, pour suivre en direct l’émission SURVOLTÉS produite par Frandroid. Voiture électrique, vélo électrique, avis d’expert, jeux ou bien témoignages, il y en a pour tous les goûts !

Les derniers articles