Certaines applications mobiles suivent votre position et la communiquent en toute discrétion aux services qui vendent des données. Il est fort probable que vous utilisiez au moins une application de ce genre sans le savoir. Comment découvrir quelles applications peuvent s’avérer problématiques ? Que pouvez-vous y faire ?
Quelles applications mobiles vous suivent ?
Lorsque nous avons pu voir comment les spring breakers d’une plage en Floride s’éparpillaient ensuite dans tous les États-Unis pendant la pandémie Covid-19, le directeur de Kaspersky GReAT, Costin Raiu, n’a pas immédiatement pensé au coronavirus mais plutôt aux applications qui suivent la position des utilisateurs. Le rapport a utilisé certaines recherches, dont les données de localisation de X-Mode. Comment l’entreprise X-Mode a-t-elle obtenu ces données ?
Il s’avère que X-Mode distribue un kit de développement logiciel (SDK), c’est-à-dire un composant que les développeurs peuvent inclure dans leurs applications, et paie mensuellement les développeurs, selon le nombre d’utilisateurs réguliers de l’application, pour qu’ils l’incluent. En contrepartie, le SDK collecte les données de localisation et des capteurs du smartphone, comme celles du gyroscope, puis les envoie aux serveurs de X-Mode. Ensuite, X-Mode vend les données soi-disant rendues anonymes à n’importe quel acheteur.
X-Mode affirme que le SDK n’affecte pas vraiment l’autonomie de la batterie comme il n’utilise qu’entre 1 et 3 % de la charge et que les utilisateurs ne vont même pas remarquer la présence du SDK et ne seront pas dérangés. X-Mode explique aussi qu’en collectant les données de cette façon son action est « indubitablement légale » et que le SDK est pleinement conforme au RGPD.
Existe-t-il beaucoup d’applications de traçage de la position ?
Raiu s’est alors demandé si lui aussi était suivi de cette façon. Pour le savoir, il devait tout simplement identifier les adresses des serveurs de commande et de contrôle (C&C) utilisés par le SDK de traçage et surveiller le trafic réseau sortant de son dispositif. Si une des applications installées sur son smartphone communiquait avec un des serveurs alors cela signifiait qu’il était suivi. Pour accomplir cette tâche, Raiu devait connaître les adresses du serveur. Il a décidé d’utiliser ces recherches pour son intervention au SAS@home de cette année.
Après un peu d’ingénierie inverse, de conjecture, de déchiffrement et de tâtonnement, il les a trouvées et a écrit un code qui lui permettait de savoir si une application essayait d’y accéder. En résumé, il a découvert que si une application a une certaine ligne de code alors elle utilise le SDK de traçage.
Raiu a trouvé plus de 240 applications différentes qui ont le SDK. Au total, ces applications ont été installées plus de 500 millions de fois. Si on part du principe qu’un utilisateur moyen n’installe l’application qu’une seule fois alors 1 personne sur 16 dans le monde entier a installé une application de ce genre sur son dispositif. C’est… énorme. La probabilité que vous soyez affecté est, sans surprise, de 1/16.
De plus, X-Mode n’est qu’une des dizaines d’entreprises de ce secteur.
De plus, n’importe quelle application peut contenir plus d’un SDK. Par exemple, alors que Raiu analysait une application qui avait le SDK de X-Mode, il a découvert cinq composants d’autres entreprises qui collectaient aussi des données de localisation. Évidemment, le développeur essaie d’obtenir le plus d’argent possible grâce à son application, d’autant qu’il s’agissait d’une application payante. Malheureusement, ce n’est pas parce que vous payez pour une application que les créateurs n’essaient pas d’obtenir encore plus de bénéfices.
Que faire pour éviter d’être suivi ?
Le problème avec les SDK de traçage est que, lorsque vous téléchargez une application, vous ne savez pas si elle contient des composants permettant le suivi de votre localisation. L’application peut avoir de très bonnes raisons pour demander à connaître votre position, et de nombreuses applications dépendent de la localisation pour bien fonctionner. Pourtant, ces mêmes applications peuvent aussi vendre vos données de localisation. C’est difficile à dire.
Pour aider les technophiles à réduire le risque d’être suivis, Raiu a créé une liste des serveurs C&C que les SDK de traçage utilisent. Vous la trouverez sur sa page personnelle GitHub. Un ordinateur RaspberryPi sur lequel sont installés les programmes Pi-hole et WireGuard peut vous aider à surveiller le trafic de votre réseau domestique et révéler les applications qui essaient de contacter ces serveurs.
Il est fort probable que cette méthode dépasse les compétences technologiques de la plupart des utilisateurs. Pour réduire le risque d’être suivi par ces applications et ces services, vous devez limiter les autorisations données aux applications.
- Vérifiez quelles applications ont le droit d’utiliser votre position. Nous vous expliquons ici comment procéder si vous avez Android 8, ou toute autre version ultérieure puisqu’il y a peu de différences. Voici comment empêcher le suivi de votre position sous iOS. Si vous pensez qu’une application n’en a pas vraiment besoin, n’hésitez pas à retirer l’autorisation.
- Autorisez l’application à utiliser votre position que lorsque vous vous en servez. La plupart des applications n’en ont pas besoin lorsqu’elles s’exécutent en arrière-plan, et cette situation est parfaite pour elles.
- Désinstallez les applications que vous n’utilisez plus. Si vous n’avez pas ouvert l’application depuis un mois ou plus alors il est fort probable que vous n’en ayez pas du tout besoin. Vous pouvez toujours la réinstaller plus tard.
- N’oubliez pas que les composants de suivi de la position ne sont certainement pas la pire des choses qu’une application peut cacher, même si elle est légitime et disponible dans les boutiques officielles. Certaines applications peuvent être complètement malveillantes et certaines peuvent le devenir après avoir été vendues ou mises à jour. C’est pourquoi nous vous conseillons d’utiliser une solution de sécurité robuste comme Kaspersky Internet Security for Android qui vous protège de toutes les menaces mobiles.