Composées d’outils intrusifs ou de logiciels malveillants, les applications mobiles espionnent de plus en plus nos données personnelles. De manière illégale, sans nous informer distinctement, elles peuvent ainsi donner à des compagnies publicitaires l’accès à la géolocalisation, aux SMS, aux photos ou encore au microphone de nos téléphones et tablettes. Pire, nos appareils mobiles sont également devenus les proies de logiciels malveillants utilisés par certains pays pour contrôler et gérer à distance l’ensemble des applications des smartphones. Voici, comment ces applications sont devenues de dangereuses menaces pour notre vie privée et comment programmer notre téléphone pour leur limiter l’accès à nos données personnelles.
Novembre dernier, la Commission nationale de l’informatique et des libertés (CNIL), met en garde les Français contre l’existence d’applications mobiles intrusives. Équipées de l’outil « SDK », ces logiciels collectent nos données personnelles de géolocalisation via nos mobiles sans demander de manière claire et précise notre consentement. Sans que nous le sachons, à travers ces applications (même lorsqu’elles ne sont pas activées), des publicitaires récupèrent ainsi tout un tas d’informations nécessaires pour leur profilage et ciblage publicitaire.
Une pratique jugée illégale par la CNIL qui dénonce « un manquement à l’obligation de recueil du consentement sur les données ». Suite à une série de contrôles, la Commission accuse ainsi Vectaury, la société qui commercialise l’outil « SDK », de ne pas informer systématiquement les utilisateurs sur les modalités cachées de ces applications lors de leur téléchargement. En effet, au moment de l’installation du logiciel, le client n’est informé ni de la finalité du ciblage publicitaire, ni de l’identité du responsable de ce traitement. Les utilisateurs ne sont avertis des conditions générales de l’application qu’une fois le traitement des données exécuté.
Des applications mobiles de plus en plus intrusives
Mise en demeure par la CNIL, Vectaury est loin d’être un cas isolé. Entre juillet et octobre 2018, la Présidente de la CNIL avait déjà mis en demeure deux autres sociétés Fidzup et Singlespot pour l’absence de consentement des personnes au traitement de leurs données de géolocalisation à des fins de ciblage publicitaire lors de l’installation d’applications mobiles. Une sanction nécessaire car depuis les deux entreprises respectent la loi Informatique et Liberté.
Deux exceptions sur un marché des applications mobiles où règne l’illégalité. Pradeo, une compagnie en cybersécurité a réalisé en 2017 une étude sur les menaces liées aux applications mobiles. Selon les conclusions de cette enquête portant sur 1,5 millions d’applications, 60% des applications ont un comportement intrusif et 1 application sur 4 contient des vulnérabilités. Elles peuvent ainsi exploiter nos données personnelles, effectuer des connexions non sécurisées ou encore passer des appels invisibles et envoyer des SMS et MMS causant des pertes financières.
L’étude montre également le manque de transparence liées à ces applications. Une fois installés sur notre téléphone mobile ou tablette, ces logiciels peuvent manipuler certaines de nos données grâce à des permissions contournées. En effet, si nous autorisons ces applications à avoir accès à certaines de nos données, nous ne les autorisons pas pour autant à les divulguer ou les vendre à des compagnies ou des puissances gouvernementales.
Etude Pradeo sur les menaces liées aux Applications mobiles
Les jeux, ces applications espionnes
Parmi toutes les applications, les jeux sont celles qui sont les moins fiables. Selon l’étude de Pradeo, elles représentent 72,4 % des logiciels mobiles ayant un comportement intrusif. The New York Times a ainsi révélé la dangerosité des jeux pour mobiles comme « Pool 3D », « Beer Pong » : Trickshot » ou encore « Real Bowling Strike 10 Pin ». Une fois téléchargées sur un téléphone intelligent, ces applications ont la capacité de garder un œil sur les habitudes de visionnement de leurs utilisateurs (dont certains peuvent être des enfants) même lorsque les jeux ne sont pas activés.
Toutes ces applications utilisent le même logiciel : Alphonso. Créé par une start-up qui collecte des données d’audience TV pour les annonceurs, cet outil a pour but de faire du profilage publicitaire. En utilisant le microphone du smartphone, Alphonso peut ainsi détailler ce que les gens regardent grâce à des signaux audio issus de publicités, d’émissions de télévision ou encore des films visionnés sur le téléphone. L’information est ensuite utilisée par les publicitaires qui pourront ainsi nous présenter des publicités qui correspondront parfaitement à nos centres d’intérêt. Plus de 250 jeux utilisent ainsi le logiciel Alphonso. Tous sont disponibles dans la boutique Google Play et certains sont également disponibles chez Apple.
Un logiciel pour smartphone utilisé par des Etats pour nous espionner
Les compagnies publicitaires ne sont pas les seules intéressées par les données personnelles des utilisateurs de smartphone. Certains Etats se servent également de logiciels mobiles pour espionner certains de leurs citoyens. En 2016, Ahmed Mansoor, un célèbre défenseur des droits de l’homme aux Emirats arabes unis, a reçu un texto sur son smartphone lui proposant de cliquer sur un lien pour avoir accès à des informations concernant des prisonniers torturés dans son pays. Interpellé par cet étrange message, Ahmed Mansoor décide de l’envoyer à Citizen Lab, un laboratoire interdisciplinaire de l’Université de Toronto. Avec l’aide d’une entreprise en cybersécurité Lookout, les chercheurs de l’organisme ont découvert l’existence de Pegasus, un des logiciels d’espionnage les plus sophistiqués jamais rencontrés. Développé par l’éditeur israélien NSO Group, Pegasus infecte les mobiles et tablettes Android et IOS après la réception d’un lien envoyé par SMS. Une fois ouvert, le lien permet au logiciel d’exploiter les vulnérabilité du téléphone pour y installer le malware. Il est ensuite capable de prendre la main à distance sur des terminaux mobiles et permettre à l’attaquant de contrôler la caméra, d’activer le microphone, de récupérer les emails, les SMS ou encore la géolocalisation du mobile.
Les applications espionnées par Pegasus / Citizen lab
Entre août 2016 et août 2018, Citizen Lab a ainsi identifié 45 pays où les opérateurs Pegasus pouvaient mener des opérations malveillantes. Parmi les pays où la présence de Pegasus est la plus importante, on retrouve la France, les USA ou encore Israel. Dans son étude, l’institution prouve également que d’importantes opérations liées à l’utilisation abusive de Pegasus ont été utilisées pour cibler la société civile au Bahreïn, Kazakhstan, Mexique, Maroc, en Arabie Saoudite et aux Emirats arabes unis… Des pays connus pour leurs antécédents douteux en matière de droits de l’homme. Toujours selon l’enquête menée par Citizen Lab, des opérateurs Pegasus pourraient espionner au-delà des frontières d’un pays. Les chercheurs ont ainsi découvert un opérateur situé au Maroc capable également d’espionner des cibles situées en Algérie, en France et en Tunisie.
Pays infectés par Pegasus / Citizen Lab
Comment se protéger contre les applications mobiles intrusives ?
Voici quelques astuces pour maitriser vos données personnelles sur votre téléphone ou tablette :
Contrôler la géolocalisation de notre appareil mobile
30 % des applications utilisent la géolocalisation, parfois plusieurs fois par minutes. Pour éviter que ces informations se retrouvent entre les mains de compagnies publicitaires, vous pouvez désactiver ce service. Sur Android, allez dans Paramètres puis Position et désactivez le bouton vert situé à droite de Position. Sur IOS, allez dans Réglages, Confidentialité, Service de localisation et désactivez la géolocalisation pour chacune des applications souhaitées.
Limitez les publicités
Vos téléphones et tablettes sont programmés pour transmettre des données personnelles à des acteurs publicitaires. Ils créent ainsi des publicités basées notamment sur un identifiant publicitaire stocké sur votre smartphone. Il est donc conseillé de renouveler régulièrement cet identifiant. Sur Android, allez dans Paramètres, activez l’option Désactiver les annonces par centre d’intérêt et Réinitialiser l’identifiant publicitaire. Sur IOS, allez sur Réglages, puis Confidentialité, accédez ensuite à l’option Publicité et activez le Suivi publicitaire limité.
Fermez les applications en tâche de fond
Si l’application reste ouverte, elle continuera de récolter et transmettre des informations vous concernant. Il est donc conseillé de la fermer. Sur Android, allez dans Paramètres, Choisissez le menu applications> en cours. Sur IOS, appuyez rapidement deux fois sur le bouton situé en bas de l’écran et enlevez les applications vers le haut.
Si vous souhaitez plus d’informations et de conseils pour lutter contre la récupération illégale de vos données personnelles sur mobiles, allez sur le site de la CNIL.
Bonjour,
Sur un téléphone Huawei Y6 / Android 6.0/ Maya, comment peut-on désactiver les annonces par centre d’intérêt et Réinitialiser l’identifiant publicitaire ?
Merci
Bonjour Daniel,
Pour limiter le suivi publicitaire de téléphone, vous pouvez consulter cet article de la CNIL qui explique comment faire cela sur Android : https://www.cnil.fr/fr/maitrisez-les-reglages-vie-privee-de-votre-smartphone
Sinon, vous pouvez essayer cette solution :
-Ouvrez l’application Paramètres sur votre smartphone
-Cliquez sur la rubrique Applications (sur certains appareils cette dernière porte le nom de gestionnaire d’applications)
-Sélectionnez l’application que vous suspectez d’afficher des publicités sur l’écran de verrouillage de votre téléphone
-Appuyez sur le bouton Autorisations
-Vérifiez les permissions demandées par l’application
-Cliquez sur l’interrupteur pour bloquer les permissions non indispensables au bon fonctionnement de l’application
Bonne journée
Victoria
Bonjour
Connaissez-vous l’appli INCOGNITO de Arcane Security Solutions, et est-elle vraiment efficace ?
Sinon avez-vous quelques chose à proposer ?
Merci pour cet excellent article.
Bonjour,
Merci pour votre commentaire !
Je n’ai jamais utilisé l’application INCOGNITO de Arcane Security Solutions. En revanche, en cherchant des impressions d’utilisateurs, les retours me semblent bons puisqu’elle est notée à 4,5 sur Google Play.
Désolée de ne pas pouvoir vous informer d’avantage sur ce sujet !
Bonne journée,
Victoria
Encore un article sans aucunne valeur technique, seulement utile a l auto satisfaction de l’auteur*, qui vous apporte des soit disant parades, nulles.
Les app/prog incriminés sont bien sur capable de démarrer d elles memes les fonctions divers de votre telephone MEME apparently arrêté. GPS, mic, cam et tout.
En test? Ok, fermez Skype sur votre iphone et laissez vous envoyer un message. Vous le recevez? Ha tiens!
* mal choisi par P Hoster alors que nous, les novices, attendons plutôt de vrais solutions.
Clt,,,
Bonjour,
Nous avons bien pris en compte vos remarques et souhaitons vous expliquer notre démarche concernant cet article.
Cet article reprend les alertes lancées par des organismes étatiques ou encore universitaires sur ce sujet. Ces spécialistes de la cybersécurité ont mené des enquêtes sur les applications mobiles intrusives et illégales. En effet, elles n’informent pas les consommateurs comme l’oblige la loi sur loi Informatique et Liberté lors de leur installation. Nous vous invitons d’ailleurs à la consulter ainsi que les rapports rendus par la CNIL qui a mis en demeure plusieurs sociétés françaises proposant des applications intrusives. Je vous rappelle que cette Commission a pour fonction première de protéger les consommateurs.
C’est d’ailleurs dans cet esprit que nous avons décidé d’écrire cet article et non pas pour satisfaire l’auteur. Nous souhaitons simplement prévenir les utilisateurs d’appareils mobiles que certaines applications mobiles sont intrusives. Une technique illégale si le consommateur n’est pas clairement prévenu avant d’installer le logiciel.
Sur ce sujet, je vous invite également à lire l’enquête publiée par The New York Times sur ce sujet. : https://www.nytimes.com/2017/12/28/business/media/alphonso-app-tracking.html
Et si vous souhaitez consulter des articles concernant des solutions, sachez que nous publions régulièrement sur notre blog des conseils sur différents sujets comme le SEO, les Webdesign ou encore comment améliorer la sécurité de votre site Web.
Bien cordialement,
Victoria Kopiloff
« Protégez vos données personnelles contre les applications mobiles intrusives »
Un article de 1300 mots approx. où 250 approx se refèrent au titre de l’article ….. et le reste consacré à un descriptif du contexte!!
Léger, léger!!
Voici quelques ‘astuces’ pour maitriser vos données ………………
J’aurais préfèré — voici quelques ‘solutions’ mais c’est évident que la technicité du sujet vous échappe.
Bonjour,
Le titre de l’article n’est pas « Comment protéger vos données personnelles… ? » mais « Protégez vos données… ». Il faut y voir un conseil lié à l’existence d’applications intrusives. L’article a donc pour but d’expliquer pourquoi nous conseillons de protéger les données personnelles des applications intrusives. Il ne s’agit en effet pas d’un article technique mais informatif.
Si vous souhaitez des conseils techniques sur le sujet, vous pouvez vous rendre sur le site Web de la CNIL (Commission nationale de l’informatique et des libertés), comme conseillé dans l’article.
Bien cordialement,
Victoria