En vérifiant si nos smartphones nous écoutaient en secret, ces chercheurs ont trouvé autre chose

Nos smartphones sont-ils des espions ? Nos conversations téléphoniques sont-elles sur écoute à notre insu ? Des chercheurs ont tenté de trouver la réponse à cette question, mais ils ont découvert autre chose…

Légende urbaine ou théorie du complot ? Nombre de mobinautes sont convaincus que leur smartphone les écoute pour les cibler avec des publicités. Vice a alimenté la paranoïa avec un article qui déclarait « Votre téléphone vous écoute et ce n’est pas de la paranoïa« , déclaration découlant d’une expérience de où l’auteur a parlé de « retour à l’université » et de « chemises bon marché » devant son téléphone, et a ensuite vu des publicités pour des chemises et des cours universitaires sur Facebook…

Des professeurs d’informatique de l’Université Northeastern ont donc décidé de mener l’enquête en menant une expérience sur plus de 17 000 applications parmi les plus populaires sur Android pour découvrir si l’une d’entre elles utilisait secrètement le micro du téléphone. Parmi elles, on trouvait Facebook ainsi que plus de 8 000 applications qui envoient des informations à Facebook. Résultat : ils n’ont trouvé aucune trace ni preuve d’écoute secrète de la part de votre smartphone. Mais en poussant un peu plus leurs recherches, ils ont fait une autre découverte : des applications qui prennent des captures du contenu affiché à l’écran et les envoient à des tiers.

Des applications prennent des captures d’écran et les envoient à des tiers

Sur les 17 260 applications examinées, plus de 9 000 avaient la permission d’accéder à l’appareil photo et au microphone. À l’aide de 10 smartphones Android, les chercheurs ont développé un programme automatisé interagissant avec chacune de ces applications, puis ont analysé le trafic généré. Ils ont alors mis au jour des pratiques d’envoi de captures photo et vidéo de l’écran envoyées à des tiers, notamment à des entreprises d’analyse de données mobiles !

Exemple, en utilisant l’application de GoPuff (une start-up de livraison rapide de fast-food), l’interaction avec l’application a été enregistrée et transmise à Appsee, une société d’analyse mobile. Dans ce cas précis, la capture d’écran renseignait le code postal de l’utilisateur. Une manœuvre qui a aucun moment n’a été mentionnée dans la politique de confidentialité de l’application GoPuff.

Contacté par les chercheurs, GoPuff admet la divulgation de certaines données (coordonnées bancaires exclues) à AppSee. Le PDG d’Appsee, Zahi Boussiba, lui aussi contacté, explique que les conditions de service de son entreprise « stipulent clairement que nos clients doivent divulguer l’utilisation d’une technologie tierce, et nos conditions interdisent aux clients de suivre toute donnée personnelle avec Appse ». Il explique aussi que les applications ayant recours au service Appsee peuvent blacklister les données sensibles pour qu’elles ne soit pas transmises. Il ajoute : « il semble que la technologie d’Appsee a été mal utilisée par le client et que nos conditions d’utilisation ont été violées. Une fois ce problème porté à notre attention, nous avons immédiatement désactivé les capacités de suivi de l’application mentionnée et purgé toutes les données d’enregistrement de nos serveurs. »

Captures photos et vidéos, à votre insu…

A l’origine, GoPuff utilise Appsee pour optimiser les performances de son application. Certes, le transfert des données a été accepté par l’application, mais le flou sur le manque de vigilance sur les méthodes et le types de données collectées soulève de nouvelles interrogations. Le fait que le service AppSee ait autant de facilité à obtenir une capture d’écran est pour le moins inquiétant. Il donne une idée de la facilité avec laquelle un hacker pourrait voler des informations sur votre téléphone. Dans le cas d’une capture vidéo, même les mots de passe pourrait être concernés, du fait que la plupart des champs de saisie montrent le dernier caractère tapé avant de le changer en un astérisque ou point noir.

Ces révélations ont de quoi alimenter la paranoïa, ou plutôt l’inquiétude, des utilisateurs de smartphones.

Source


17 commentaires

      • Je suis un peu d’accord quand même.. Lecteur de Presse Citron depuis de nombreuses années, sa ligne éditoriale a beaucoup perdu.

        FIFA qui prédit la coupe du monde.. puis des chercheurs qui trouvent « autre chose »..

        Non, l’article n’est pas creux pour autant, mais on est loin d’un article de fond comme ça se faisait avant. Voilà 🙂

      • Ce qui fait putaclic est au choix le manque de précisions ou la désinformation de l’article.

        Fait :
        Une appli utilise des services tiers pour suivre le comportement de ses utilisateurs.
        A cette fin l’app envoie des screenshot de son appli à un provider pour pouvoir comprendre comment les utilisateurs utilisent son appli.
        Ce qu’on lit :
        “Le fait que le service AppSee ait autant de facilité à obtenir une capture d’écran est pour le moins inquiétant. Il donne une idée de la facilité avec laquelle un hacker pourrait voler des informations sur votre téléphone.

        Ce que le public non avertis lit :
        AppSee est un virus qui lit mes données personnelles sur mon téléphone en ayant rien demandé. Un hacheur pourrait faire exactement la même chose.

        Ce que le public avertis se demande :
        WTF ?!
        AppSee n’a rien piraté, rien hacké : les concepteurs de l’application GoPuff envoient des captures d’écran de LEUR appli à AppSee pour être capable de diagnostiquer des bugs des utilisateurs. Donc forcément que AppSee n’a aucun mal à obtenir les captures : ce sont les apps qui leur envoient !
        Des données que les gens rentrent dans l’app GoPuff et auquel GoPuff a donc par définition accès : il n’y a pas vol de données.

        J’ai raté ce qui amène à la conclusion entre ces deux phrases :

        Le fait que le service AppSee ait autant de facilité à obtenir une capture d’écran est pour le moins inquiétant. Il donne une idée de la facilité avec laquelle un hacker pourrait voler des informations sur votre téléphone.

        Pourquoi ça nous montre à quel point un hacker peut facilement accéder à nos infos ?
        Il manque une preuve en fait là.
        Il a été prouvé que les bases de données AppSee sont accessibles publiquement ?
        AppSee prend des captures d’apps qui n’utilisent pas leur services ( ex : j’utilise GoPuff donc AppSee peut prendre des captures d’écrans de mon appli bancaire ?)
        Le protocol de transfert entre l’app et AppSee n’est pas chiffré ?
        Ce sont ces conclusions sans justification qui amènent à qualifier l’article de putaclic.

        Que veut dire hacking pour vous ?
        Est-ce que Amazon (AWS) est une boîte de vilains hackeurs car ils stockent les données de milliers de startups sur leur services ?

        Si on est au stade de la découverte des outils de tracking, je vous invite à découvrir google analytics et hotjar …

        • Merci pour ces précisions, mais au risque de paraitre têtu, votre commentaire ne démontre absolument pas que le titre de l’article est putaclic, il ne fait qu’apporter VOTRE point de vue – intéressant, certes – sur cette affaire, tout au plus.

          • Ce n’est pas juste SON point de vue, c’est une explication précise et exacte de ce dont parle l’article.

            « Le fait que le service AppSee ait autant de facilité à obtenir une capture d’écran est pour le moins inquiétant. Il donne une idée de la facilité avec laquelle un hacker pourrait voler des informations sur votre téléphone. »

            Rien que cette phrase donne l’impression que l’auteur de l’article ne sait pas de quoi il parle. Comme ça a été dit, AppSee n’a rien fait du tout sur les téléphones testés, c’est l’application GoPuff qui a envoyé les captures et qui a utilisé AppSee pour les stocker, en allant à l’encontre de leur politique de confidentialité par la même occasion. Et ça, ce n’est pas une question de point de vue c’est juste une réalité technique. Du coup, cette phrase n’est pas correcte.

            Mais bon à chaque fois que je vois quelqu’un laisser un commentaire pour pointer du doigt une erreur d’explication ou d’interprétation par l’auteur de l’article je vois Eric dégainer tout un tas d’excuses pour ne pas tenir compte de ce qui est dit, même si c’est juste. Donc forcément en réagissant comme ça c’est difficile d’aller dans le bon sens, et ça ne donne pas une bonne impression.

          • Pouvez-vous donc au moins expliquez votre point de vue sur votre phrase suivante :
            « Il donne une idée de la facilité avec laquelle un hacker pourrait voler des informations sur votre téléphone. »
            En quoi cela donne la moindre idée de l’action que peut faire un hacker ?
            Vous allez aux conclusions sans faits.

          • « Certes, le transfert des données a été accepté par l’application […] Le fait que le service AppSee ait autant de facilité à obtenir une capture d’écran est pour le moins inquiétant. »

            AppSee n’a rien fait du tout, c’est GoPuff qui a effectué les captures d’écran via leur application mobile et qui a ensuite utilisé les serveurs d’AppSee pour les stocker, en violant leurs Conditions d’Utilisation au passage.

            Du coup je pense qu’il y a une erreur dans la première phrase, qui devrait être : « Certes, le transfert des données a été initié par l’application […] ».

          • « Certes, le transfert des données a été accepté par l’application […] Le fait que le service AppSee ait autant de facilité à obtenir une capture d’écran est pour le moins inquiétant. »

            AppSee n’a effectivement rien fait du tout, c’est GoPuff qui a effectué les captures d’écran via leur application mobile et qui a ensuite utilisé les serveurs d’AppSee pour les stocker, en violant leurs Conditions d’Utilisation au passage.

            Du coup je pense qu’il y a une erreur dans la première phrase, qui devrait être : « Certes, le transfert des données a été initié par l’application […] ».

        • S’il y a bien quelque chose de putaclick dans cet article, c’est les mots « paranoïa » et « théorie du complot » quand il s’agit de faits que tout le monde connaît depuis des décennies mais auxquels on a bizarrement décidé de n’accorder aucune importance.

          « Ce que le public non avertis lit :
          AppSee est un virus qui lit mes données personnelles sur mon téléphone en ayant rien demandé. Un hacheur pourrait faire exactement la même chose. »

          Vous parlez de titre putaclick quand vous avez le culot d’avancer comme un fait ce qui n’est que votre déformation d’un passage ?
          Ce qui est écrit : « Le fait que le service AppSee ait autant de facilité à obtenir une capture d’écran est pour le moins inquiétant. Il donne une idée de la facilité avec laquelle un hacker pourrait voler des informations sur votre téléphone.  »

          Voilà la seule chose que devrait lire le lecteur moyen, à savoir qu’un hacker pourrait accéder à des informations sensibles aussi facilement qu’une application de smartphone.

          > Il a été prouvé que les bases de données AppSee sont accessibles publiquement ?

          Lol. Toute base de données sur internet est à terme accessible publiquement. Si vous croyez le contraire je vous invite à vous renseignez sur le piratage régulier des bases de données, y compris de grosses boîtes qui dépensent des millions en défense informatique (Yahoo ? Gmail ? Ça vous parle ?) sur les 25 dernières années. Allez-y vous serez surpris.
          La conclusion que tous les informaticiens partagent mais que les grosses boîtes font semblant d’ignorer c’est qu’il ne sert à rien d’espérer protéger un contenu sensible sur internet, ce qu’il faut c’est ne pas le mettre sur internet ou mieux ne pas l’enregistrer du tout.

      • Bonsoir, l’article n’est pas creux à mon sens, c’est seulement le schéma utilisé pour le titre qui est vu et revu. « Vous ne devinerez jamais ce que ces chercheurs ont trouvé en étudiant nos smartphones ». Pour moi, ça revient exactement à ça. C’est juste une autre manière de le formuler. On s’attend presque à voir un « ça va vous étonner » en fin de titre.

        Un titre se doit d’être clair. Il aurait fallu dire en quelques mots ce qu’ils ont trouvé. Là ça pousse juste le lecteur à cliquer (putaclic donc) pour connaître la suite et être un poil déçu de la réponse.

  1. Soyons clairs le mieux c’est de ne pas installer d’applications ou du moins de se conter des indispensables. Toute autre action comprends un risque que l’utilisateur accepte en ouvrant lles droits sur telle ou telle fonction…

  2. C’est du piratage, forcément les entreprises riches s’offrent les meilleurs pirates.
    Je vais me fabriquer mon propre Smartphone sous Arduino, il ne sera pas chic et très basique mais parfaitement sécurisé.

  3. Bonjour.
    Pourquoi suis je prise dans mon lit endormie à 5h du matin alors que je suis seule chez moi.
    On voit bien sur la photo que je dors. Alors comment se prendre en photo seule et sans tenir mon téléphone portable.
    Merci d’avance.
    Cordialement.
    Ch. Al.

  4. Bonsoir.
    Je trouve la plus part de mes conversations téléphoniques enregistrées dans mon téléphone portable.
    Une conversation avec mon banquier. C’est grave quand même.
    Je pense qu’il va falloir faire marche arrière, reprendre le stylo et le papier à lettres pour plus de confidentialités.
    La réponse arrivera moins vite que par : sms, mail, appel téléphoniques. Mais temps pis. Tous ces sales malhonnêtes en 2018 il faut se lancer attivement à leur recherche et au lieu de faire de tel piratage, les mettre avec une pioche et une pelle à creuser des tranchées sur les chantiers de travaux publics par le grand froid ou par les fortes chaleurs et surtout sans une goutte de rafraîchissement. Car le mal qu’ils non font subir est très destructeur.
    Merci de votre compréhension
    Cordialement.
    Ch. Al.

Commenter

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.