Connect with us

Actualités

En vérifiant si nos smartphones nous écoutaient en secret, ces chercheurs ont trouvé autre chose

Nos smartphones sont-ils des espions ? Nos conversations téléphoniques sont-elles sur écoute à notre insu ? Des chercheurs ont tenté de trouver la réponse à cette question, mais ils ont découvert autre chose…

Il y a

le

Légende urbaine ou théorie du complot ? Nombre de mobinautes sont convaincus que leur smartphone les écoute pour les cibler avec des publicités. Vice a alimenté la paranoïa avec un article qui déclarait « Votre téléphone vous écoute et ce n’est pas de la paranoïa« , déclaration découlant d’une expérience de où l’auteur a parlé de « retour à l’université » et de « chemises bon marché » devant son téléphone, et a ensuite vu des publicités pour des chemises et des cours universitaires sur Facebook…

Des professeurs d’informatique de l’Université Northeastern ont donc décidé de mener l’enquête en menant une expérience sur plus de 17 000 applications parmi les plus populaires sur Android pour découvrir si l’une d’entre elles utilisait secrètement le micro du téléphone. Parmi elles, on trouvait Facebook ainsi que plus de 8 000 applications qui envoient des informations à Facebook. Résultat : ils n’ont trouvé aucune trace ni preuve d’écoute secrète de la part de votre smartphone. Mais en poussant un peu plus leurs recherches, ils ont fait une autre découverte : des applications qui prennent des captures du contenu affiché à l’écran et les envoient à des tiers.

Des applications prennent des captures d’écran et les envoient à des tiers

Sur les 17 260 applications examinées, plus de 9 000 avaient la permission d’accéder à l’appareil photo et au microphone. À l’aide de 10 smartphones Android, les chercheurs ont développé un programme automatisé interagissant avec chacune de ces applications, puis ont analysé le trafic généré. Ils ont alors mis au jour des pratiques d’envoi de captures photo et vidéo de l’écran envoyées à des tiers, notamment à des entreprises d’analyse de données mobiles !

> Lire aussi :  Trump utilise toujours un iPhone non sécurisé — et il serait sur écoute

Exemple, en utilisant l’application de GoPuff (une start-up de livraison rapide de fast-food), l’interaction avec l’application a été enregistrée et transmise à Appsee, une société d’analyse mobile. Dans ce cas précis, la capture d’écran renseignait le code postal de l’utilisateur. Une manœuvre qui a aucun moment n’a été mentionnée dans la politique de confidentialité de l’application GoPuff.

Contacté par les chercheurs, GoPuff admet la divulgation de certaines données (coordonnées bancaires exclues) à AppSee. Le PDG d’Appsee, Zahi Boussiba, lui aussi contacté, explique que les conditions de service de son entreprise « stipulent clairement que nos clients doivent divulguer l’utilisation d’une technologie tierce, et nos conditions interdisent aux clients de suivre toute donnée personnelle avec Appse ». Il explique aussi que les applications ayant recours au service Appsee peuvent blacklister les données sensibles pour qu’elles ne soit pas transmises. Il ajoute : « il semble que la technologie d’Appsee a été mal utilisée par le client et que nos conditions d’utilisation ont été violées. Une fois ce problème porté à notre attention, nous avons immédiatement désactivé les capacités de suivi de l’application mentionnée et purgé toutes les données d’enregistrement de nos serveurs. »

> Lire aussi :  Cloudflare lance des apps DNS Android et iOS améliorant la confidentialité

Captures photos et vidéos, à votre insu…

A l’origine, GoPuff utilise Appsee pour optimiser les performances de son application. Certes, le transfert des données a été accepté par l’application, mais le flou sur le manque de vigilance sur les méthodes et le types de données collectées soulève de nouvelles interrogations. Le fait que le service AppSee ait autant de facilité à obtenir une capture d’écran est pour le moins inquiétant. Il donne une idée de la facilité avec laquelle un hacker pourrait voler des informations sur votre téléphone. Dans le cas d’une capture vidéo, même les mots de passe pourrait être concernés, du fait que la plupart des champs de saisie montrent le dernier caractère tapé avant de le changer en un astérisque ou point noir.

Ces révélations ont de quoi alimenter la paranoïa, ou plutôt l’inquiétude, des utilisateurs de smartphones.

Source

17 Commentaires

17 Commentaires

  1. Tom

    6 juillet 2018 at 11 h 48 min

    Un peu dommage ces titres putaclicks depuis quelque temps, votre site va de moins en moins se démarquer de certains de vos confrères…

    • Eric

      7 juillet 2018 at 11 h 08 min

      Pouvez-vous m’indiquer exactement ce qu’il y a de putaclic dans ce titre ? Y a-t-il un élément qui induise le lecteur en erreur ? L’article est-il creux et fait-il 50 mots ? Autre chose qui nous aurait échappé ?

      • Axel

        7 juillet 2018 at 15 h 17 min

        Je suis un peu d’accord quand même.. Lecteur de Presse Citron depuis de nombreuses années, sa ligne éditoriale a beaucoup perdu.

        FIFA qui prédit la coupe du monde.. puis des chercheurs qui trouvent « autre chose »..

        Non, l’article n’est pas creux pour autant, mais on est loin d’un article de fond comme ça se faisait avant. Voilà 🙂

      • Marcoplaut

        8 juillet 2018 at 22 h 43 min

        Ce qui fait putaclic est au choix le manque de précisions ou la désinformation de l’article.

        Fait :
        Une appli utilise des services tiers pour suivre le comportement de ses utilisateurs.
        A cette fin l’app envoie des screenshot de son appli à un provider pour pouvoir comprendre comment les utilisateurs utilisent son appli.
        Ce qu’on lit :
        “Le fait que le service AppSee ait autant de facilité à obtenir une capture d’écran est pour le moins inquiétant. Il donne une idée de la facilité avec laquelle un hacker pourrait voler des informations sur votre téléphone.

        Ce que le public non avertis lit :
        AppSee est un virus qui lit mes données personnelles sur mon téléphone en ayant rien demandé. Un hacheur pourrait faire exactement la même chose.

        Ce que le public avertis se demande :
        WTF ?!
        AppSee n’a rien piraté, rien hacké : les concepteurs de l’application GoPuff envoient des captures d’écran de LEUR appli à AppSee pour être capable de diagnostiquer des bugs des utilisateurs. Donc forcément que AppSee n’a aucun mal à obtenir les captures : ce sont les apps qui leur envoient !
        Des données que les gens rentrent dans l’app GoPuff et auquel GoPuff a donc par définition accès : il n’y a pas vol de données.

        J’ai raté ce qui amène à la conclusion entre ces deux phrases :

        Le fait que le service AppSee ait autant de facilité à obtenir une capture d’écran est pour le moins inquiétant. Il donne une idée de la facilité avec laquelle un hacker pourrait voler des informations sur votre téléphone.

        Pourquoi ça nous montre à quel point un hacker peut facilement accéder à nos infos ?
        Il manque une preuve en fait là.
        Il a été prouvé que les bases de données AppSee sont accessibles publiquement ?
        AppSee prend des captures d’apps qui n’utilisent pas leur services ( ex : j’utilise GoPuff donc AppSee peut prendre des captures d’écrans de mon appli bancaire ?)
        Le protocol de transfert entre l’app et AppSee n’est pas chiffré ?
        Ce sont ces conclusions sans justification qui amènent à qualifier l’article de putaclic.

        Que veut dire hacking pour vous ?
        Est-ce que Amazon (AWS) est une boîte de vilains hackeurs car ils stockent les données de milliers de startups sur leur services ?

        Si on est au stade de la découverte des outils de tracking, je vous invite à découvrir google analytics et hotjar …

        • Eric

          9 juillet 2018 at 9 h 43 min

          Merci pour ces précisions, mais au risque de paraitre têtu, votre commentaire ne démontre absolument pas que le titre de l’article est putaclic, il ne fait qu’apporter VOTRE point de vue – intéressant, certes – sur cette affaire, tout au plus.

          • Mika

            9 juillet 2018 at 10 h 13 min

            Ce n’est pas juste SON point de vue, c’est une explication précise et exacte de ce dont parle l’article.

            « Le fait que le service AppSee ait autant de facilité à obtenir une capture d’écran est pour le moins inquiétant. Il donne une idée de la facilité avec laquelle un hacker pourrait voler des informations sur votre téléphone. »

            Rien que cette phrase donne l’impression que l’auteur de l’article ne sait pas de quoi il parle. Comme ça a été dit, AppSee n’a rien fait du tout sur les téléphones testés, c’est l’application GoPuff qui a envoyé les captures et qui a utilisé AppSee pour les stocker, en allant à l’encontre de leur politique de confidentialité par la même occasion. Et ça, ce n’est pas une question de point de vue c’est juste une réalité technique. Du coup, cette phrase n’est pas correcte.

            Mais bon à chaque fois que je vois quelqu’un laisser un commentaire pour pointer du doigt une erreur d’explication ou d’interprétation par l’auteur de l’article je vois Eric dégainer tout un tas d’excuses pour ne pas tenir compte de ce qui est dit, même si c’est juste. Donc forcément en réagissant comme ça c’est difficile d’aller dans le bon sens, et ça ne donne pas une bonne impression.

          • marcoplaut

            9 juillet 2018 at 10 h 46 min

            Pouvez-vous donc au moins expliquez votre point de vue sur votre phrase suivante :
            « Il donne une idée de la facilité avec laquelle un hacker pourrait voler des informations sur votre téléphone. »
            En quoi cela donne la moindre idée de l’action que peut faire un hacker ?
            Vous allez aux conclusions sans faits.

          • Mika

            13 juillet 2018 at 14 h 48 min

            « Certes, le transfert des données a été accepté par l’application […] Le fait que le service AppSee ait autant de facilité à obtenir une capture d’écran est pour le moins inquiétant. »

            AppSee n’a rien fait du tout, c’est GoPuff qui a effectué les captures d’écran via leur application mobile et qui a ensuite utilisé les serveurs d’AppSee pour les stocker, en violant leurs Conditions d’Utilisation au passage.

            Du coup je pense qu’il y a une erreur dans la première phrase, qui devrait être : « Certes, le transfert des données a été initié par l’application […] ».

          • Mika

            13 juillet 2018 at 14 h 50 min

            « Certes, le transfert des données a été accepté par l’application […] Le fait que le service AppSee ait autant de facilité à obtenir une capture d’écran est pour le moins inquiétant. »

            AppSee n’a effectivement rien fait du tout, c’est GoPuff qui a effectué les captures d’écran via leur application mobile et qui a ensuite utilisé les serveurs d’AppSee pour les stocker, en violant leurs Conditions d’Utilisation au passage.

            Du coup je pense qu’il y a une erreur dans la première phrase, qui devrait être : « Certes, le transfert des données a été initié par l’application […] ».

          • Marcoplaut

            13 juillet 2018 at 23 h 26 min

            Pas de réponse, dommage …

        • mazmea

          10 juillet 2018 at 17 h 48 min

          S’il y a bien quelque chose de putaclick dans cet article, c’est les mots « paranoïa » et « théorie du complot » quand il s’agit de faits que tout le monde connaît depuis des décennies mais auxquels on a bizarrement décidé de n’accorder aucune importance.

          « Ce que le public non avertis lit :
          AppSee est un virus qui lit mes données personnelles sur mon téléphone en ayant rien demandé. Un hacheur pourrait faire exactement la même chose. »

          Vous parlez de titre putaclick quand vous avez le culot d’avancer comme un fait ce qui n’est que votre déformation d’un passage ?
          Ce qui est écrit : « Le fait que le service AppSee ait autant de facilité à obtenir une capture d’écran est pour le moins inquiétant. Il donne une idée de la facilité avec laquelle un hacker pourrait voler des informations sur votre téléphone.  »

          Voilà la seule chose que devrait lire le lecteur moyen, à savoir qu’un hacker pourrait accéder à des informations sensibles aussi facilement qu’une application de smartphone.

          > Il a été prouvé que les bases de données AppSee sont accessibles publiquement ?

          Lol. Toute base de données sur internet est à terme accessible publiquement. Si vous croyez le contraire je vous invite à vous renseignez sur le piratage régulier des bases de données, y compris de grosses boîtes qui dépensent des millions en défense informatique (Yahoo ? Gmail ? Ça vous parle ?) sur les 25 dernières années. Allez-y vous serez surpris.
          La conclusion que tous les informaticiens partagent mais que les grosses boîtes font semblant d’ignorer c’est qu’il ne sert à rien d’espérer protéger un contenu sensible sur internet, ce qu’il faut c’est ne pas le mettre sur internet ou mieux ne pas l’enregistrer du tout.

      • Tom

        10 juillet 2018 at 0 h 26 min

        Bonsoir, l’article n’est pas creux à mon sens, c’est seulement le schéma utilisé pour le titre qui est vu et revu. « Vous ne devinerez jamais ce que ces chercheurs ont trouvé en étudiant nos smartphones ». Pour moi, ça revient exactement à ça. C’est juste une autre manière de le formuler. On s’attend presque à voir un « ça va vous étonner » en fin de titre.

        Un titre se doit d’être clair. Il aurait fallu dire en quelques mots ce qu’ils ont trouvé. Là ça pousse juste le lecteur à cliquer (putaclic donc) pour connaître la suite et être un poil déçu de la réponse.

  2. Bebecar

    6 juillet 2018 at 14 h 49 min

    Soyons clairs le mieux c’est de ne pas installer d’applications ou du moins de se conter des indispensables. Toute autre action comprends un risque que l’utilisateur accepte en ouvrant lles droits sur telle ou telle fonction…

  3. ardudu

    7 juillet 2018 at 14 h 17 min

    C’est du piratage, forcément les entreprises riches s’offrent les meilleurs pirates.
    Je vais me fabriquer mon propre Smartphone sous Arduino, il ne sera pas chic et très basique mais parfaitement sécurisé.

  4. ALLOUARD

    13 juillet 2018 at 19 h 22 min

    Bonjour.
    Pourquoi suis je prise dans mon lit endormie à 5h du matin alors que je suis seule chez moi.
    On voit bien sur la photo que je dors. Alors comment se prendre en photo seule et sans tenir mon téléphone portable.
    Merci d’avance.
    Cordialement.
    Ch. Al.

  5. ALLOUARD

    13 juillet 2018 at 19 h 47 min

    Bonsoir.
    Je trouve la plus part de mes conversations téléphoniques enregistrées dans mon téléphone portable.
    Une conversation avec mon banquier. C’est grave quand même.
    Je pense qu’il va falloir faire marche arrière, reprendre le stylo et le papier à lettres pour plus de confidentialités.
    La réponse arrivera moins vite que par : sms, mail, appel téléphoniques. Mais temps pis. Tous ces sales malhonnêtes en 2018 il faut se lancer attivement à leur recherche et au lieu de faire de tel piratage, les mettre avec une pioche et une pelle à creuser des tranchées sur les chantiers de travaux publics par le grand froid ou par les fortes chaleurs et surtout sans une goutte de rafraîchissement. Car le mal qu’ils non font subir est très destructeur.
    Merci de votre compréhension
    Cordialement.
    Ch. Al.

  6. kessapeutfout

    14 juillet 2018 at 19 h 33 min

    « ces chercheurs ont trouvé autre chose » -> putaclick
    « ces chercheurs on découvert des applis qui envoient des copies d’écran » -> pas putaclick
    CQFD

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Dernières news

Les bons plans

Les tests